hegner123/scanner

# scanner macOS 的事件事后调查工具。检查每个正在运行的进程——包括可执行文件路径、代码签名状态和网络连接——然后标记出可疑指标并附带严重性分级说明。既可作为独立的 CLI 工具运行，也可作为 Claude Code 的 MCP server 使用。 ## 检测内容 | 标记 | 含义 | |------|---------| | `unsigned` | 二进制文件没有 Apple 代码签名 | | `invalid-signature` | 签名存在但验证失败（可能被篡改） | | `hidden-executable` | 二进制文件路径包含点文件目录 | | `temp-location` | 从 `/tmp` 或 `/var/tmp` 运行 | | `non-standard-port` | 在标准端口集之外的 ESTABLISHED 连接 | | `deleted-binary` | 可执行文件在磁盘上已不存在 | | `no-executable-path` | 无可用路径（通常是内核线程） | 标记会组合成严重性级别（HIGH / MEDIUM / LOW），并以通俗语言解释每个进程被标记的原因。 ## 安装 ``` just install ``` 需要 Go 1.25+ 和 [just](https://github.com/casey/just)。 ## CLI 用法 ``` # 完整安全扫描（默认仅标记进程） scanner scan # 仅显示可疑进程，如发现则 exit 1 scanner scan --suspicious # 用于脚本编写的 JSON output scanner scan --json # 列出运行中的进程及路径分析 scanner ps # 显示网络连接并高亮外部 IP scanner net # 管理 allowlist（抑制已知二进制文件的未签名标记） scanner allow add /usr/local/bin/mytool scanner allow list scanner allow remove /usr/local/bin/mytool ``` 所有命令都支持 `--json` 以输出机器可读格式，以及 `--verbose` 以在 stderr 输出诊断详情。 ## MCP Server Scanner 通过 stdio 将其全部功能集作为 MCP server 开放，兼容 Claude Code 及其他 MCP 客户端。 ``` # 注册 Claude Code just mcp-add # 或手动 scanner mcp ``` ### 可用工具 | 工具 | 描述 | |------|-------------| | `scan_full` | 完整安全分析，包含严重性分级和说明 | | `scan_processes` | 进程列表，支持摘要或详细 JSON 输出 | | `scan_network` | 网络连接，高亮显示外部 IP | | `scan_kill` | 通过 PID 终止进程（SIGTERM 或 SIGKILL） | | `scan_allow_add` | 将二进制文件添加到白名单 | | `scan_allow_list` | 列出白名单中的二进制文件 | | `scan_allow_remove` | 从白名单中移除二进制文件 | ## 开发 ``` just test # run tests just lint # vet and staticcheck just fmt # format code just check # full check: fmt, lint, test, build ``` ## 许可证 MIT

标签：Claude Code, CLI 工具, DNS 反向解析, DNS 解析, EDR 替代, EVTX分析, Go 语言, IP 地址批量处理, macOS 安全工具, MCP 服务器, Windows 调试器, 代码签名验证, 可疑活动标记, 后渗透, 工具集, 数字取证, 文档结构分析, 日志审计, 系统管理员工具, 终端安全, 网络安全, 网络连接监控, 自动化脚本, 进程调查, 隐私保护