Dragonixdll/cheat-hunter

# Cheat-hunter 用于检测作弊软件和反取证工具的高级 Windows 取证扫描器 ## 核心功能 ### YARA 扫描引擎 - 针对作弊软件、壳工具、擦除器、注入器的自定义 YARA 规则 - FiveM 作弊检测 - 内核 bypass 驱动检测 - 高熵值 PE 检测（加壳/加密） ### 取证分析模块（25+） **执行历史** - 包含 SHA-1 哈希的 Amcache.hve 分析 - Shimcache/AppCompatCache 加载器记录 - UserAssist GUI 执行历史 - Prefetch 扩展时间线 - BAM/DAM 后台活动监控器 **已删除文件取证** - $MFT 主文件表已删除记录扫描 - 回收站 $I 文件分析 - 通过 Prefetch 检测幽灵删除 **内存与进程分析** - 已加载 DLL 扫描 - 进程伪装检测（伪造的系统进程） - 崩溃转储分析（不稳定的作弊软件） **注册表与痕迹** - PCA Store 执行痕迹 - RunMRU / TypedPaths 历史 - 注册表自启动项（Run, RunOnce） - 计划任务持久化扫描 **反取证检测** - 事件日志清除检测 - USN 日志大量删除检测 - TestSigning / 完整性检查 bypass - 内核驱动映射器检测 - 关键服务禁用检测 **网络与浏览器** - SRUM 数据库网络使用分析 - 浏览器下载历史 **文件系统** - 伪造扩展名猎手 - 近期文件修改 - 外部驱动器执行检测 - FiveM 目录扫描 ### 报告 - CSV 导出，兼容 Timeline Explorer - 严重性分类（CRITICAL/HIGH/MEDIUM/LOW） - 检测文件的 MD5 和 SHA256 哈希 ### 性能 - 自动提升至管理员权限

标签：Amcache分析, DNS 解析, FiveM反作弊, HTTPS请求, MFT解析, Prefetch分析, SecList, Windows取证, YARA引擎, 事件日志清除检测, 五大类取证模块, 作弊检测, 内存取证, 内核驱动检测, 协议分析, 反取证工具, 子域名变形, 完整性校验, 库, 应急响应, 恶意软件扫描, 持久化扫描, 数据包嗅探, 权限提升, 沙箱逃逸, 注册表分析, 游戏安全, 红队检测, 进程欺骗检测, 高熵检测