thurstonaptitudinal132/GhostSecure

# 👻 GhostSecure - 实时监控 Active Directory 攻击 [](https://github.com/thurstonaptitudinal132/GhostSecure) GhostSecure 是一个 Windows 服务，可实时监控您的 Active Directory。如果检测到八种常见的攻击方法，它会向您发出警报。这些方法包括 Kerberoasting、Pass-the-Hash、DCSync、Golden Ticket、LDAP Recon、AS-REP Roasting、Skeleton Key 和 Audit Log tampering。GhostSecure 使用 Python 和 Windows Security Event Log 数据来即时发现威胁。 ## 🔍 GhostSecure 的功能 Active Directory 是许多 Windows 网络的关键组成部分。它存储用户信息并控制对资源的访问。攻击者以 Active Directory 为目标来窃取凭据或获取控制权。GhostSecure 有助于快速检测这些攻击。 以下是它涵盖的内容： - **Kerberoasting：** 攻击者请求服务票据以破解密码。 - **Pass-the-Hash：** 使用窃取的密码哈希访问账户。 - **DCSync：** 模拟域控制器以窃取机密。 - **Golden Ticket：** 伪造票据以控制系统。 - **LDAP Recon：** 探测目录以收集信息。 - **AS-REP Roasting：** 利用不需要预认证的账户。 - **Skeleton Key：** 向域控制器注入后门。 - **Audit Log tampering：** 试图通过更改日志来隐藏痕迹。 该工具作为 Windows 服务在后台静默运行。它会引发警报，您可以使用这些警报更快地对攻击做出反应。 ## 🖥️ 系统要求 以下是在 Windows PC 上运行 GhostSecure 的基本需求： - Windows 10 或更高版本（推荐 64 位）。 - 具有适当权限的 Active Directory 域访问权限。 - 已安装 Python 3.8 或更高版本（GhostSecure 包含您需要的内容）。 - 至少 2 GB 的可用 RAM。 - 安装和运行服务的管理员权限。 - 到您的 Active Directory 域控制器的网络连接。 GhostSecure 专为用于监控网络活动的典型工作站或服务器而设计。 ## ⚙️ 主要特性 - 作为后台 Windows 服务运行，进行持续监控。 - 分析实时 Windows Security Event 日志。 - 检测八种主要的 Active Directory 攻击方法。 - 通过本地通知或日志记录发送警报。 - 使用 Python 编写，便于更新和自定义。 - 低资源占用，避免拖慢您的系统。 - 适用于企业环境或小型团队。 ## 🚀 入门指南 首先使用下面的大按钮下载 GhostSecure。它将带您进入官方 GitHub 存储库页面。 [](https://github.com/thurstonaptitudinal132/GhostSecure) 按照以下步骤在您的 Windows 机器上运行它。 ## ⬇️ 下载和安装 1. **访问下载页面：** 转到上面的链接。该页面包含最新版本和完整的项目文件。 2. **下载最新版本：** 在 GitHub 页面的 "Releases" 下查找最新的稳定版本。 下载标记为 Windows 的 `.zip` 文件或可用的服务可执行文件。 3. **解压文件：** 下载后，右键单击 `.zip` 文件并选择 "Extract All..."（全部解压）。 选择一个您想保存文件的文件夹（例如 `C:\GhostSecure`）。 4. **打开文件夹：** 在文件资源管理器中打开解压后的文件夹以访问文件。 5. **运行安装程序或服务设置：** 如果有 `.exe` 安装程序，双击它。如果有 Python 脚本，请按照下一节的说明进行操作。 ## 🛠️ 安装和运行 GhostSecure GhostSecure 以 Windows 服务的形式提供。这意味着它在没有可见窗口的情况下运行，并随 Windows 启动。要安装它： 1. **以管理员身份打开命令提示符：** - 按下 Windows 键。 - 输入 `cmd`。 - 右键单击 "Command Prompt" 并选择 "Run as administrator"（以管理员身份运行）。 2. **导航到 GhostSecure 文件夹：** 使用 `cd` 命令进入该文件夹。例如： cd C:\GhostSecure 3. **安装 Python 环境（如果需要）：** GhostSecure 可能包含一个 Python 可执行文件。如果没有，请从 python.org 安装 Python 3.8 或更高版本。 4. **安装所需的包：** 运行命令： pip install -r requirements.txt 这将安装服务所需的软件库。 5. **安装 GhostSecure 服务：** 运行命令： python install_service.py 此脚本将使用 Windows 设置服务。 6. **启动服务：** 运行： net start GhostSecure 此命令在您的 PC 上启动监控服务。 7. **验证服务状态：** 您可以通过输入以下命令检查服务是否正在运行： sc query GhostSecure 查找状态：RUNNING。 ## 🔧 配置警报 当 GhostSecure 在 Active Directory 日志中检测到可疑活动时，它会发送警报。 - 警报可以写入安装文件夹中的本地日志文件（`alerts.log`）。 - 如果您想将其连接到其他系统，该服务可能具有内置的通知配置。 - 检查 `config.yaml` 文件以自定义警报设置和监控的活动类型。 - 调整警报级别以减少误报或提高灵敏度。 ## 🗂️ 访问日志和报告 您的监控数据在本地保存。要查看日志： 1. 打开 GhostSecure 安装文件夹。 2. 找到 `logs` 目录。 3. 使用记事本或任何文本编辑器打开文件。 4. 日志包含带有警报的时间戳和发现的活动类型。 使用这些日志进行调查或与 IT 安全团队共享。 ## 💡 使用提示 - 在与您的域控制器有良好网络访问权限的机器上运行 GhostSecure。 - 保持您的 Windows 最新，以获得最佳的事件日志支持。 - 在任何配置更改后重启服务。 - 为您的配置和日志启用备份。 - 检查您的 Active Directory 权限，以确保监控账户对安全事件具有读取访问权限。 ## 🛑 停止或移除 GhostSecure 要停止服务： ``` net stop GhostSecure ``` 要卸载服务，请打开管理员命令提示符并运行： ``` python uninstall_service.py ``` 如果要删除所有文件，请删除安装文件夹。 ## ⚙️ 故障排除 - **服务无法启动：** 检查您是否以管理员身份运行命令提示符。同时验证 Python 是否已安装。 - **未看到警报：** 确认服务正在运行，并且您的 Active Directory 正在生成安全事件。 - **日志中有错误：** 查看 `error.log` 文件以获取详细信息。缺少依赖项通常会导致错误。 - **权限问题：** 确保运行 GhostSecure 的用户账户对安全事件日志具有读取访问权限。 ## 📚 更多信息和支持 有关完整文档、问题报告和更新，请访问官方 GitHub 页面： [https://github.com/thurstonaptitudinal132/GhostSecure](https://github.com/thurstonaptitudinal132/GhostSecure) 您可以在这里找到用户指南、技术详细信息和最新版本。

标签：Active Directory, AMSI绕过, AS-REP Roasting, DCSync, Golden Ticket, Kerberoasting, LDAP Recon, Pass-the-Hash, Plaso, Python, Skeleton Key, WSL, 事件日志, 凭据窃取, 威胁检测, 无后门, 日志篡改, 模拟器, 逆向工具