HadyMohamedElhadyHassan/MemReaper

GitHub: HadyMohamedElhadyHassan/MemReaper

一款基于PowerShell的专业级Windows进程取证分析工具，通过八大维度深度分析运行时进程，结合实时内存字符串提取和VirusTotal集成，快速检测复杂恶意软件。

Stars: 1 | Forks: 0

``` ::: ::: ::: ::::::::: ::: ::: :+: :+: :+: :+: :+: :+: :+: :+: +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +#++:++#++ +#++:++#++: +#+ +:+ +#++: +#+ +#+ +#+ +#+ +#+ +#+ +#+ #+# #+# #+# #+# #+# #+# #+# ### ### ### ### ######### ### ``` # HADY - 高级进程取证分析器 **v3.0 | 高级进程取证分析器 | DFIR 工具包** ![PowerShell](https://img.shields.io/badge/PowerShell-5.1%2B-blue?logo=powershell) ![Platform](https://img.shields.io/badge/Platform-Windows-lightgrey?logo=windows) ![Privilege](https://img.shields.io/badge/Requires-Administrator-red) ![License](https://img.shields.io/badge/License-MIT-green)

## 🔍 概述 **HADY** 是一款完全使用 PowerShell 构建的专业级 **数字取证与事件响应 (DFIR)** 工具。该工具专为安全分析师、恶意软件研究人员和系统管理员设计，能够通过 PID 对任何运行中的 Windows 进程执行**深度运行时取证分析**。与任务管理器或 Process Explorer 等标准工具相比，HADY 超越了基础功能，能够同时从 **8 个取证维度**主动查询目标进程，并在几秒钟内提供全面的威胁评估。 ## ✨ 主要功能 | # | 维度 | 描述 | |---|-----------|-------------| | 1 | **进程身份** | 获取名称、PID、所有者、会话、内存使用情况、线程和句柄。 | | 2 | **进程谱系** | 完整的父子链分析，包括父进程的命令行。 | | 3 | **文件完整性** | 计算 SHA-256 哈希，验证 Authenticode 签名，并提取 PE 元数据。 | | 4 | **数字签名信任** | 将 46+ 个已知的 Windows/应用程序进程映射到其预期的发布者，并标记伪造的签名。 | | 5 | **命令行检查** | 从 WMI 提取完整的参数字符串，以捕获隐藏的标志。 | | 6 | **实时网络活动** | 监控实时 TCP/UDP 连接并标记外部 IP。 | | 7 | **VirusTotal API 查询** | 自动将 SHA-256 哈希提交到 VirusTotal 并可视化检测率。 | | 8 | **内存字符串分析** | 通过 Win32 API 读取实时进程内存，使用高级正则表达式提取隐藏的 URL 和 C2 IP 地址。 | ## 🚀 HADY 的独特之处 ### 🛡️ 数字签名信任引擎标准工具只会告诉你文件是否已签名。HADY 更进一步，维护了一个知名进程的内部数据库。如果恶意软件将自己命名为 `svchost.exe`，但由未知公司签名（或未签名），HADY 会立即触发 **红色警报**： ### 🧠 实时内存字符串分析恶意软件经常将其 C2 (命令与控制) 服务器和恶意 URL 隐藏在内存中。HADY 使用原生 Win32 API (`ReadProcessMemory`) 遍历目标进程的**实时虚拟地址空间**，提取所有可打印的 ASCII 字符串。 ### 🎯 智能消除误报从内存中提取 IP 通常会产生来自 X.509 证书 OID 号（例如 `2.5.29.35`）的误报。HADY 应用 **5 层积极过滤** 来消除这种噪声，确保您只看到实际的网络指标。 ## ⚙️ 系统要求 - **操作系统:** Windows 10 / 11 / Server 2016+ - **环境:** PowerShell 5.1 或更高版本 - **权限:** **管理员**（读取内存和枚举网络需要） - **网络:** 仅 VirusTotal API 查询需要。 ## 🛠️ 安装与使用 ### 步骤 1：下载脚本克隆仓库或直接将 `Invoke-CMDForensics.ps1` 下载到您的计算机。 ``` git clone https://github.com/YOUR_GITHUB_USERNAME/HADY-DFIR.git ``` ### 步骤 2：添加您的 VirusTotal API 密钥（重要）要启用 VirusTotal 信誉检查，您必须将您的 API 密钥添加到脚本中。 1. 在任意文本编辑器中打开 `Invoke-CMDForensics.ps1`。 2. 转到 **第 16 行**。 3. 将占位符替换为您的实际 API 密钥： ``` # ============================================================================== # CONFIGURATION -- Place your VirusTotal API key here # ============================================================================== $VT_API_KEY = 'YOUR_VIRUSTOTAL_API_KEY_HERE' # <--- Change this on Line 16 ``` ### 步骤 3：以管理员身份运行以**管理员身份打开 PowerShell** 并执行脚本。您必须为当前会话绕过执行策略： ``` Set-ExecutionPolicy Bypass -Scope Process -Force; & "C:\Users\*****\Invoke-CMDForensics.ps1" ``` ### 步骤 4：输入目标 PID 工具启动时，会提示您输入要分析的进程 ID (PID)： ``` [?] Enter PID to Analyze: 1768 ``` ## 📊 示例输出 ``` ======================================================================== ::: ::: ::: ::::::::: ::: ::: :+: :+: :+: :+: :+: :+: :+: :+: +:+ +:+ +:+ +:+ +:+ +:+ +:+ +:+ +#++:++#++ +#++:++#++: +#+ +:+ +#++: +#+ +#+ +#+ +#+ +#+ +#+ +#+ #+# #+# #+# #+# #+# #+# #+# ### ### ### ### ######### ### [ v3.0 ] Advanced Process Forensic Analyzer | DFIR Toolkit + VirusTotal API Integration + Memory Strings Analysis ======================================================================== ... [Process Identity, Lineage, and Integrity Info] ... +----------------------------------------------------------------------+ | [ 4 ] DIGITAL SIGNATURE TRUST ANALYSIS +----------------------------------------------------------------------+ Process Name chrome.exe Known Process YES -- in trusted publisher database Expected Publisher Google Actual Signer CN=Google LLC, O=Google LLC, C=US Trust Verdict TRUSTED [OK] Publisher matches expected certificate ... [Command Line and Network Info] ... +----------------------------------------------------------------------+ | [ 7 ] VIRUSTOTAL REPUTATION CHECK +----------------------------------------------------------------------+ Querying VirusTotal... Hash: 3A4B5C6D7E8F... Detection Ratio 0 / 76 Verdict CLEAN -- No engines flagged this file +----------------------------------------------------------------------+ | [ 8 ] MEMORY STRINGS -- EXTRACTED NETWORK INDICATORS +----------------------------------------------------------------------+ Reading process memory strings (may take a few seconds)... Read 123,833 raw strings. Running regex analysis... -- URLs found in memory (0 unique) -- None detected. -- EXTERNAL IPs found in memory (0 unique) -- None detected. ======================================================================== SCAN COMPLETE -- chrome.exe (PID: 1234) -- 2026-03-15 02:30:00 [RESULT] [OK] No suspicious indicators detected. Process appears legitimate. ======================================================================== ``` ## ⚠️ 免责声明本工具仅用于**授权的安全分析、事件响应和教育目的**。请仅在被您拥有或获得明确测试许可的系统上使用。作者不对本工具的任何滥用承担任何责任。 **作者：** Hady

标签：AI合规, Ask搜索, Conpot, DAST, IPv6, Libemu, Linux, Mr. Robot, OpenCanary, PowerShell, SecList, T1059, VirusTotal, Windows安全, 代码签名, 内存取证, 内存字符串提取, 句柄分析, 后渗透, 实时取证, 工具集, 库, 应急响应, 恶意软件分析, 数字取证, 数字签名验证, 无线安全, 流量嗅探, 病毒检测, 网络安全审计, 网络连接监控, 自动化脚本, 运行时分析, 进程分析