owlsecx/OInjectEye

# 👁️ OInjectEye

## 📌 概述 OInjectEye 专注于检测高级威胁常用的**无文件恶意软件**技术： - AMSI bypass - 反射式 PE/DLL 加载 - PowerShell 混淆与编码命令 - WMI 持久化与执行 - .NET 程序集加载与注入 - 内存中的 PE 头 - 高熵 Base64 payload 它输出结构化的 JSON 报告和即用型分层 YARA 规则（高/中/搜寻置信度）。 ## 🖥️ 模块 | # | 模块 | 描述 | |---|----------------------|-------------| | **[1]** | **Live Scan** | 扫描所有或可疑的正在运行的进程 | | **[2]** | **PID Scan** | 针对特定的进程 ID | | **[3]** | **Dump Scan** | 分析原始内存转储文件 | | **[4]** | **YARA Builder** | 根据上次扫描生成分层 YARA 规则 | | **[5]** | **View Report** | 显示上次扫描的详细结果 | | **[6]** | **Settings** | 配置扫描限制、熵阈值、YARA 参数 | ## 📊 核心功能 - **实时内存扫描** — 直接访问 `/proc//mem` 和映射 - **Mini-PE 检测** — 查找具有有效节的内存中 PE 头 - **模式匹配** — AMSI、ReflectiveLoader、IEX、WMI、.NET 注入 API - **熵门控 Base64** — 高熵 Base64 及解码后的 payload 分析 - **风险评分引擎** — 加权评分 (0-100)，包含类别加成和噪声惩罚 - **分层 YARA 生成** — 高置信度（接近度）、中等和广泛的搜寻规则 - **上下文感知** — 抑制合法的 Defender/PS 上下文 - **结构化导出** — JSON 报告 + 即用型 `.yar` 文件 ## ⚙️ 环境要求 - **Linux**（用于实时进程内存扫描） - 建议使用 **Root / sudo** 以获取完整的 `/proc//mem` 访问权限 - **可选**：`pip install psutil`（用于更简便的进程枚举） ## 🚀 使用方法 ``` sudo ./OInjectEye 📁 Output Live Results — Color-coded risk scores per process with IOC count Detailed Findings — Category, pattern, context (ASCII + hex), region info Score Breakdown — Base score, entropy bonus, structural bonus, proximity, noise penalty JSON Report — ofileless_YYYYMMDD_HHMMSS.json (full structured data) YARA Rules — ofileless_YYYYMMDD_HHMMSS.yar with high/medium/hunting tiers 📦 Part of OwlSec Toolkit This tool is part of the OwlSec suite — a collection of 300+ security and privacy tools. 🔗 owlsec.org ©️ License Proprietary — © Khaled S. Haddad Tools are distributed as pre-built executables. Source code is proprietary. AUTHORISED MEMORY FORENSICS AND FILELESS MALWARE ANALYSIS USE ONLY ```

标签：AMSI绕过, AMSI绕过检测, Base64检测, DAST, DeepSeek, DNS 反向解析, IOC提取, Linux安全工具, Mini-PE检测, .NET内存注入, OpenCanary, OwlSec Toolkit, PowerShell混淆, Raw Memory Dump, SecList, WMI持久化, YARA规则生成, 内存取证, 内存扫描, 威胁检测, 恶意软件分析, 无文件恶意软件, 熵值分析, 进程内存分析, 逆向工具