OpenSource-For-Freedom/wraith

GitHub: OpenSource-For-Freedom/wraith

WRAITH 是一款 Windows 端点威胁猎杀与应急响应工具,通过 14 个集成扫描模块发现持久化机制、异常进程和取证线索。

Stars: 0 | Forks: 0

WRAITH 

 ██╗    ██╗██████╗  █████╗ ██╗████████╗██╗  ██╗

 ██║    ██║██╔══██╗██╔══██╗██║╚══██╔══╝██║  ██║

 ██║ █╗ ██║██████╔╝███████║██║   ██║   ███████║

 ██║███╗██║██╔══██╗██╔══██║██║   ██║   ██╔══██║

 ╚███╔███╔╝██║  ██║██║  ██║██║   ██║   ██║  ██║

  ╚══╝╚══╝ ╚═╝  ╚═╝╚═╝  ╚═╝╚═╝   ╚═╝   ╚═╝  ╚═╝

**Windows 运行时分析与入侵威胁猎手**

*Unix 骨干 · 开源情报管道 · 守护神咒*

[![Deploy](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/4d1d78d92e163950.svg)](https://github.com/OpenSource-For-Freedom/wraith/actions/workflows/deploy.yml)

[![Windows 10/11](https://img.shields.io/badge/Windows-10%20%2F%2011-0078D6?logo=windows)](docs/windows10.md)

[![.NET 8](https://img.shields.io/badge/.NET-8.0-512BD4?logo=dotnet)](https://dotnet.microsoft.com/download/dotnet/8.0)

[![Python 3.10+](https://img.shields.io/badge/Python-3.10%2B-3776AB?logo=python)](https://python.org/downloads/)

[![License](https://img.shields.io/badge/license-MIT-green)](LICENSE)

[![Hits](https://hits.dwyl.com/OpenSource-For-Freedom/WRAITH.svg?style=flat-square)](https://hits.dwyl.com/OpenSource-For-Freedom/WRAITH)

一款原生 Windows 威胁猎杀应用程序,通过暗色主题的 WPF 仪表板,编排 **14 个扫描模块**,涵盖 YARA 签名、行为启发式、持久化机制、供应链检查和实时进程分析。WRAITH 与 **Windows Defender** 并行运行,并通过开源情报管道将真阳性事件源馈送到 **Microsoft Sentinel**。

[安装](#installation) · [扫描模块](#scan-modules) · [使用](#usage) · [输出](#output) · [文档](docs/)
## 安装 - 从 [发布版](https://github.com/OpenSource-For-Freedom/wraith/releases) 安装打包源码。 ## 截图

WRAITH scan animation

WRAITH live scan

随着 14 个模块依次完成,发现结果会实时浮现 —— YARA 匹配、启发式命中、持久化条目和进程异常按严重程度排名流入同一 feed 中。
更多截图 ### 仪表板

WRAITH dashboard

每一行显示严重性、模块、发现名称、路径/进程和熵值。点击任意行查看详情。使用工具栏可以**终止实时进程**、**导出报告**或**清除列表**。 ### 严重性过滤器

WRAITH severity filter

无需重新运行即可实时按严重性(CRITICAL → INFO)过滤。扫描根目录、回溯窗口和扫描模式均在点击 **EXPECTO PATRONUM** 之前设置。 ### 完整结果与进程终止

WRAITH full results

WRAITH kill process

扫描后,摘要栏显示各严重性级别的计数。选择任何与实时进程相关的发现并点击 **Kill Process** —— WRAITH 会在终止前确认 PID 和名称。无静默终止。
## 系统要求 | 依赖 | 最低版本 | 备注 | |---|---|---| | Windows | 10 21H1 / 11 | x64 — [Win10 指南](docs/windows10.md) | | .NET SDK | 8.0 | [下载](https://dotnet.microsoft.com/download/dotnet/8.0) — 仅在从源码构建时需要 | | Python | 3.10+ | [下载](https://python.org/downloads/) — 勾选 **Add to PATH** | | 管理员权限 | 必需 | 启动时 UAC 提示 | ## 快速开始 ``` git clone https://github.com/YOUR_USERNAME/wraith.git cd wraith LAUNCH.bat ``` `LAUNCH.bat` 在首次运行时将: 1. 创建 Python 虚拟环境 (`.venv/`) 2. 安装所有 Python 依赖 3. 构建 .NET 8 WPF 应用程序 (Release) 4. 创建桌面快捷方式 5. 启动 WRAITH ## 扫描模块 | 模块 | 猎查内容 | |---|---| | **YARA** | 签名匹配 — APT28/Sofacy、Lazarus、GrizzlyBear、WannaCry、RAT、Webshell、恶意脚本 | | **Heuristics** | 行为熵分析、混淆命令、可疑的父子进程树 | | **Persistence** | 注册表 Run 键、计划任务、启动文件夹、服务、WMI 订阅 | | **Processes** | 注入线程、镂空镜像、无主内存、异常路径中的未签名二进制文件 | | **Network** | 指向可疑范围的出站连接、监听端口、异常 DNS 活动 | | **Events** | Windows 事件日志异常解析(可配置回溯窗口,1–720 小时) | | **CISA KEV** | 针对已安装软件实时检查 CISA 已知被利用漏洞目录 | | **NPM Supply Chain** | 本地 npm 项目中的拼写抢注和依赖混淆检查 | | **Windows Security** | 防火墙状态、Defender 状态、审核策略漏洞、UAC 配置 | | **Rootkit** | SSDT / IDT 钩子、隐藏驱动、DKOM 对象解链指标 | | **ADS** | NTFS 上的备用数据流 — 经典的载荷藏匿点 | | **Browser** | 可疑扩展、被修改的 hosts 文件、恶意书签指标 | | **Defender** | 集成层 — 显示隔离项和威胁历史 | | **Credentials** | SAM / LSA / DPAPI 异常、内存中的明文凭据指标 | ## 使用 ### GUI(推荐) ``` LAUNCH.bat ``` - 设置扫描根目录(默认 `C:\`) - 选择 **Full Scan** 或 **Quick Persistence Only** - 设置事件日志回溯窗口(小时) - 点击 **EXPECTO PATRONUM** - 从工具栏导出结果为 JSON / CSV / HTML ### 无界面快速扫描(无需构建) ``` .\quick-scan.ps1 .\quick-scan.ps1 -Hours 168 -OutPath C:\wraith-report.json ``` ### 停止正在运行的实例 ``` LAUNCH.bat -Close ``` ## 输出 发现结果评级为 **CRITICAL / HIGH / MEDIUM / LOW / INFO** 并包括: - 触发的规则/启发式名称 - 完整文件路径或进程镜像 - 熵值(用于二进制分析) - 进程状态(运行中 / 已终止) - 上次运行时间戳 - 一键终止实时威胁进程 报告可导出为 **JSON**、**CSV** 或独立的 **HTML** 页面。 ## 项目结构 ``` WRAITH/ .NET 8 WPF front-end Models/ ThreatFinding, ScanResult ViewModels/ MainViewModel (MVVM) Services/ ScanOrchestrator, ReportExporter Converters/ Severity -> colour, etc. scanner/ Python scan engine (14 modules) rules/ Bundled YARA rule sets quick-scan.ps1 Standalone headless scanner (no build needed) WRAITH.ps1 Master launcher / venv bootstrap LAUNCH.bat Entry point SETUP.bat One-time dependency installer ```
库与框架参考 | 库 | 用途 | 文档 | |---|---|---| | .NET 8 WPF | GUI 框架 | [docs.microsoft.com/wpf](https://docs.microsoft.com/en-us/dotnet/desktop/wpf/) | | YARA 4.x | 签名引擎 | [virustotal.github.io/yara](https://virustotal.github.io/yara/) | | yara-python | Python YARA 绑定 | [pypi: yara-python](https://pypi.org/project/yara-python/) | | pywin32 | Win32 API 访问 | [pypi: pywin32](https://pypi.org/project/pywin32/) | | psutil | 进程与网络信息 | [psutil.readthedocs.io](https://psutil.readthedocs.io/) | | requests | CISA KEV API | [docs.python-requests.org](https://docs.python-requests.org/) | | python-magic | 文件熵与 MIME | [pypi: python-magic](https://pypi.org/project/python-magic/) | | CIM / WMI | 服务与进程枚举 | [Win32 Provider](https://docs.microsoft.com/en-us/windows/win32/cimwin32prov/win32-provider) | | Windows Event Log | 事件解析 | [Get-WinEvent](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.diagnostics/get-winevent) | | CISA KEV | 已知被利用漏洞 | [cisa.gov/kev](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) |
## 许可证 MIT — 详见 [LICENSE](LICENSE)
标签:API接口, Conpot, DAST, DInvoke, DNS信息、DNS暴力破解, EDR工具, HTTP工具, Mr. Robot, .NET 8, Python, Web归档检索, Windows安全, WPF, YARA规则, 后渗透, 库, 应急响应, 异常检测, 恶意软件分析, 持久化检测, 搜索语句(dork), 数字取证, 数据包嗅探, 无后门, 无线安全, 权限提升检测, 系统分诊, 网络安全审计, 自动化脚本, 行为启发式, 进程分析, 防御规避检测