owlsecx/OProc

GitHub: owlsecx/OProc

专为Linux系统设计的应急响应与数字取证工具，整合进程行为分析、内存检查和自动证据收集功能。

Stars: 0 | Forks: 0

# 🧬 OProc

## 📌 概述 OProc 专为 Linux 系统上的应急响应和数字取证而设计。它集成了进程树分析、行为告警（Webshell 指标、高 CPU/内存、网络工具）、进程内存区域的深度检查、打开的文件/Socket，以及带有自动取证收集的受控进程终止功能。 **需要 Root 权限**才能使用完整功能。 ## 🖥️ 模块 | # | 模块 | 描述 | |---|-------------------------------|-------------| | **[1]** | **列出和分析进程** | 显示带有行为异常告警的进程树（高 CPU/MEM、Webshell 指标、网络工具） | | **[2]** | **深度检查 PID** | 详细的取证检查：status、父/子进程、打开的文件/Socket、cmdline、environ，以及内存字符串提取 | | **[3]** | **安全终止进程** | 在终止进程前进行取证转储| | **[4]** | **Exit** | Exit the tool | ## 📊 主要功能 - **行为进程树** — 实时进程列表，带有异常高亮显示（Webshell 嫌疑、高资源占用、网络工具） - **深度 PID 检查** — /proc 文件系统分析，包括内存映射和来自 Stack/Heap 的字符串提取 - **内存字符串提取** — 扫描可读内存区域以查找可打印字符串（限制在合理大小内） - **取证转储** — 用于监管链的自动终止前转储 - **日志记录** — 所有操作记录到 `oproc_forensic.log` - **安全警告** — 使用前明确的 EDR/AV 和系统稳定性警告 - **仅限 Root 运行** — 强制要求提升权限以进行内存访问 ## ⚙️ 需求 - **仅限 Linux**（使用 `/proc` 文件系统） - **需要 Root 权限** - **可选**：`tqdm` 用于显示进度（当前版本未严格使用） - **建议安装 lsof** 以完整查看打开的文件/Socket **独立可执行文件** — 使用 PyInstaller 构建时无需安装 Python。 ## 🚀 用法 ``` sudo ./OProc 📁 Output Live Terminal Output — Color-coded process tree and inspection results Forensic Dumps — proc_dump_{PID}_{timestamp}.txt files before kill Log File — oproc_forensic.log (timestamped actions for audit) Memory Strings — Extracted printable strings from process memory regions 📦 Part of OwlSec Toolkit This tool is part of the OwlSec suite — a collection of 300+ security and privacy tools. 🔗 owlsec.org ©️ License Proprietary — © Khaled S. Haddad Tools are distributed as pre-built executables. Source code is proprietary. AUTHORISED SECURITY TESTING & DIGITAL FORENSICS USE ONLY ```

标签：AMSI绕过, DAST, EDR, ESC漏洞, HTTP工具, IP 地址批量处理, OwlSec, SecList, Webshell检测, 主机友好, 内存取证, 内存提取, 威胁检测, 库, 应急响应, 恶意软件分析, 数字取证, 漏洞挖掘, 网络安全, 脆弱性评估, 自动化脚本, 证据收集, 进程分析, 进程树, 进程终止, 逆向工具, 隐私保护