Horumee/VUE

# 🛡️ VUE Antivirus Scanner **Virus Universal Engine** – 轻量级、开源的 Windows 恶意软件扫描器。    ## 功能特性 - ✅ **基于特征码的检测** (MD5 / SHA256) - ✅ **PUA 启发式分析**（文件名、路径、扩展名、大小） - ✅ **PE 文件分析** – 加壳器 (packers)、可疑 API 调用、熵值 - ✅ **注册表启动项扫描**（Run 键值、Winlogon、服务、浏览器扩展） - ✅ **启动文件夹扫描** - ✅ **隔离系统** – 安全隔离威胁 - ✅ **深度分析模式** – 完整二进制检查（较慢但更准确） - ✅ **可移动驱动器扫描**（USB / 外置 HDD） - ✅ **便携版** – 包含自带 Python 解释器 – 无需安装 - ✅ **开源** – MIT 许可证 ## 工作原理 VUE 采用多层检测方法： 1. **特征码检查** – 将文件哈希值与已知恶意软件的本地数据库进行比较。 2. **PUA 启发式分析** – 分析文件名、路径、扩展名和文件大小。 3. **PE 分析** – 检测加壳器（UPX、VMP、Themida）、危险 API 导入和高熵值区段。 4. **深度分析** – 可选的完整二进制检查（各区段熵值、导入数量、资源存在情况），可将 `SUSPICIOUS`（可疑）判定升级为 `VIRUS`（病毒）。 ## 系统要求 - Windows 7 / 8 / 10 / 11（推荐 64 位） - 无需安装 Python – 已包含便携版 Python。 ## 安装与使用 ### 1. 下载 - 前往 [Releases 页面](https://github.com/Horumee/VUE/releases)。 - 下载最新的 `Source code (zip)` 或预打包压缩包。 - 将 ZIP 解压到任意文件夹（例如 `C:\VUE` 或 `Desktop\VUE`）。 ### 2. 首次设置（安装依赖） - 打开解压后的文件夹。 - 双击 **`install_deps_vue.bat`**。 - 等待脚本下载并将 `pefile` 和 `psutil` 安装到便携版 Python 环境中。 - 完成后按任意键。 ### 3. 运行扫描器 - 双击 **`run_vue.bat`**。 将打开一个终端窗口，显示 VUE 横幅和主菜单。 ### 4. 主菜单选项 | 按键 | 操作 | 描述 | |-----|--------|-------------| | `1` | Quick Scan (快速扫描) | 扫描高风险文件夹：Downloads、Desktop、Documents、Temp、Startup、Public Downloads、System Temp。 | | `2` | Custom Directory Scan (自定义目录扫描) | 扫描您指定的任何文件夹。 | | `3` | File Scan (文件扫描) | 扫描单个文件 – 适用于检查可疑下载。 | | `4` | Full System Scan (全盘扫描) | 扫描所有本地驱动器。两种模式：**Normal**（正常，快速）和 **Deep**（深度，完整代码分析，较慢但更准确）。 | | `5` | Removable Drives Scan (可移动驱动器扫描) | 扫描 USB 闪存盘、外置 HDD。同样提供 Normal/Deep 模式。 | | `6` | View Quarantine (查看隔离区) | 显示已移至隔离区的文件。 | | `7` | Scan History (扫描历史) | 显示最近 10 次扫描（日期、类型、已扫描文件数、发现的威胁）。 | | `8` | Exit (退出) | 关闭扫描器。 | ### 5. 解读扫描结果 当检测到威胁时，您将看到： [PUA] PUA:Win32/BrowserToolbar File: toolbar.exe 📍 C:\Users\John\Downloads\toolbar.exe - **Status（状态）** – `VIRUS`（病毒）、`PUA`（潜在不受欢迎的程序）、`SUSPICIOUS`（可疑）或 `CLEAN`（干净）。 - **Threat name（威胁名称）** – 专业名称（例如 `PUA:Win32/YandexBundler`）。 - **File path（文件路径）** – 可疑文件的完整位置。 - **Confidence（置信度）** – 百分比（数值越高表示越确定）。 每次扫描后会显示报告。如果发现威胁，您可以选择操作： ACTIONS FOR THREATS Quarantine all (3 files) Delete all permanently Deep analyze (examine code) Skip - do nothing - **Quarantine（隔离）** – 将文件移动到安全文件夹（`%USERPROFILE%\.vue\quarantine\`）。文件会被重命名为 `.quar` 后缀且无法执行。 - **Delete（删除）** – 永久移除文件（无法撤销）。 - **Deep analyze（深度分析）** – 执行额外的代码检查（熵值、导入、区段）。可能会将 `SUSPICIOUS` 升级为 `VIRUS`。 - **Skip（跳过）** – 不采取任何行动。 ### 6. 深度分析（手动） 扫描单个文件后，您可以选择执行深度分析： Perform deep analysis? (yes/no): yes 深度分析会检查每个 PE 区段，计算熵值，统计所有导入，如果置信度达到 70% 或更高，可能会将威胁重新分类为 `VIRUS`。 ### 7. 隔离区管理 - 在主菜单中选择 **6 – View Quarantine**。 - 您将看到 `.quar` 文件列表及其原始路径和威胁名称。 - *恢复功能尚未内置* – 要恢复文件，请手动从 `%USERPROFILE%\.vue\quarantine\` 复制并将其扩展名改回原始扩展名。 ### 8. 扫描历史 选择 **7 – Scan History** 查看： 2025-04-04 10:32:15 | quick | Files: 12345 | Threats: 2 | Registry: 1 | 45.2s 用于随时间推移追踪威胁。 ### 9. 退出 从主菜单中选择 **8 – Exit**，或在任意时刻按 `Ctrl+C` 中断正在运行的扫描。 ## 故障排除 | 问题 | 解决方案 | |---------|----------| | `'python' is not recognized` | 始终使用 `run_vue.bat`，不要直接运行 `vue_scanner.py`。 | | `ModuleNotFoundError: No module named 'pefile'` | 运行一次 `install_deps_vue.bat`。 | | 扫描非常慢 | 使用 **Normal** 模式而非 **Deep**。Deep 模式会详细分析每个可执行文件。 | | 误报太多（例如 Qt/QML 文件） | VUE 自动将 `.qml`、`.qmlc`、`.sip`、`.svg` 以及包含 `qt` 或 `qml` 的路径列入白名单。请在 GitHub 上报告其他误报。 | | 删除文件时提示 `Access denied` | 以管理员身份运行扫描器（右键点击 `run_vue.bat` → 以管理员身份运行）。 | ## 获取最佳效果的技巧 - 每天运行一次 **Quick Scan（快速扫描）**。 - 每周运行一次 **Full System Scan (Normal)（全盘扫描）**。 - 对于可疑文件，使用带 **Deep analysis（深度分析）** 的 **File Scan（文件扫描）**。 - 保持病毒特征码数据库更新 – VUE 将在未来版本中自动检查更新。 ## 许可证 本项目基于 **MIT License** 授权 – 详见 [LICENSE](LICENSE) 文件。 ## 免责声明 VUE 按“原样”提供，不附带任何形式的保证。使用风险自负。作者不对因误用或误报/漏报造成的任何损害负责。 **用 ❤️ 制作，为了更安全的数字世界。**

标签：AMSI绕过, DNS 反向解析, MD5, PE 文件分析, PUA 检测, Python, RFI远程文件包含, SHA256, USB 病毒防护, Windows 安全, 主机防御, 二进制分析, 云安全监控, 云安全运维, 便携式软件, 免费杀毒, 加壳检测, 反病毒工具, 可移动设备扫描, 启动项管理, 启发式扫描, 哈希校验, 威胁检测, 恶意软件扫描器, 搜索语句（dork）, 无后门, 注册表扫描, 病毒查杀, 轻量级安全工具, 逆向工具, 隔离系统, 静态分析