salmontts/Windows-Blue-Team-Toolkit

# Windows Blue Team 工具包 用于在 Windows 上 **检测、分析和清除** 威胁的工具集 — process monitoring、memory forensics、threat hunting 和 incident response。 所有工具都秉持同一个理念：**学习像攻击者一样思考， 从而更有效地进行防御。** 其中一些工具采用了借用的 攻击性技术（memory dumping、process suspension、kernel-level visibility） — 用于防御和分析。Purple team 的实践。 ## 工具 ### 🔍 SnitchHunter — 实时进程监控 实时监控新进程的出现。记录名称、PID、parent PID 和完整路径。简单快速的 threat hunting：捕获可疑或 隐蔽的进程活动。检测，MITRE T1057。 ### 🧹 Exorcist — 持久化移除工具 检测并清除常见的 malware 持久化机制：可疑的 `dllhost.exe`、 WMI 后门（event subscriptions）、恶意的 scheduled tasks 以及指向 AppData/Temp 的 Run/RunOnce 条目。用于事件发生后的修复。 ### 🐕 dllhost_watchdog — COM Surrogate 监控 监控 `dllhost.exe`（COM Surrogate — 常见的 injection 目标）的活动， 冻结可疑实例并转储其内存以进行分析。响应事件的 memory forensics。 ### 👻 GhostTrap — suspend & dump 框架 由两部分组成：原生 C++ 组件冻结不在白名单中的进程，而 PowerShell dumper 通过 procdump 转储其内存。采用 kernel-adjacent 架构， 用于捕获短暂存在且隐藏的进程。 ### 🛡️ win-kernel-visibility-manager — anti-anti-analysis 研究 kernel-mode 驱动框架：研究 malware 用来 检测观察行为的技术，以及如何（通过反转 rootkit 技术）隐蔽地分析它们。 包含完整的防御部分（cross-view detection）。详见其 README。 ### 🌐 audit_domowy — 网络审计 LAN 网络扫描器：主机发现、端口/服务扫描、MAC 厂商查询、 启发式设备分类和漏洞扫描（nmap NSE）。 ## 理念：purple team 这些工具都是在真实环境中诞生的——通常是在 个人系统上对抗具体威胁的战斗中。它们的共同点在于采用了 与攻击相关的技术（memory dumping、process suspension、操纵 进程可见性），并将其转变为 **防御、分析和理解** 的手段。 ## 状态与路线图 - [x] SnitchHunter — 可用 - [x] Exorcist — 可用（重构后：改进了检测，修复了 bug） - [x] dllhost_watchdog / GhostTrap — 可用（memory forensics） - [x] audit_domowy — 可用 - [x] kernel-visibility-manager — 教育框架 + 防御构建 - [ ] 统一日志记录（通用格式、路径） - [ ] 集成签名验证（如 DEADWEIGHT 所做） — 减少 FP - [ ] 将发现结果导出为 SIEM 格式 ## 作者 **Sentio** (`salmontts`) — Adrian Jędrocha 网络安全与嵌入式 · Windows 内部机制 · malware 分析 ## 许可证 MIT

标签：AI合规, C++, IPv6, Libemu, PowerShell, Qt, SecList, 内存取证, 库, 应急响应, 插件系统, 数据擦除