404saint/guardian-ot

# 🛡️ Guardian-OT     **Guardian-OT** 是一个硬件感知取证引擎，旨在验证在关键 **工业控制系统 (ICS)** 和 **运营技术 (OT)** 环境部署前，可移动介质的完整性。 它超越了基于签名的检测，专注于 **硬件身份**、**结构完整性** 和 **基于熵的异常检测**。 ## ⚡ 快速一览：可执行情报

*仪表板会自动将 1,000 多个资产过滤为优先分级列表...* ## 🎯 问题：“Stuxnet” 攻击向量 在隔离的工业设施中，U盘仍是跨越空气间隙的主要桥梁。标准防病毒解决方案经常忽略： * **特定协议工具包** (Modbus/S7/ENIP) * **高熵混淆载荷**，隐藏在“可信”供应商驱动程序中。 * **BadUSB/欺骗攻击**，文件系统看似安全，但硬件不可信。 ## 🛠️ 核心取证流程 ### 1. 硬件到 Vault 映射 Guardian-OT 对物理 **设备 UUID** 进行指纹识别。如果驱动器被克隆或替换——即使文件完全相同——系统也会拒绝硬件基线。 ### 2. 递归完整性审计 使用高性能哈希引擎，该工具建立整个文件树的“已知良好”基线。任何“静默”修改（即使是在 `.dll` 或 `.bin` 中单个比特翻转）都会触发即时审计。 ### 3. 深度分析与熵评分 * **YARA 集成：** 扫描工业协议字符串和恶意逻辑。 * **熵分析：** 文件评分范围为 `0.0` 到 `8.0`。任何高于 `7.8` 的内容都会被标记为潜在加密或打包——这是恶意软件载荷的常见指标。 * **魔数验证：** 检测头部与扩展名不匹配，以阻止伪装的可执行文件。 ## 📊 研究员仪表板

内置的 **Streamlit** 仪表板提供： * **单一玻璃窗格：** 在几秒钟内查看 5GB+ 数据的异常。 * **威胁分布：** 关键资产与标准资产的实时可视化。 * **取证导出：** 生成结构化的 JSON 和人类可读的 Markdown 用于事件文档。 ## 🚀 快速开始 ### 安装 ``` git clone https://github.com/404saint/guardian-ot.git cd guardian-ot pip install -r requirements.txt ``` ### 执行 **1. 实地审计：** 在挂载点上执行深度扫描。 ``` python main.py /mnt/usb_drive ``` **2. 分析结果：** 启动分级界面。 ``` streamlit run dashboard.py ``` ## 🛤️ 路线图与 4 年旅程 该项目是我 **4 年 ICS/OT 安全路线图** 的核心组件。 * [x] **V1.0：** 核心取证、YARA 集成和仪表板。 * [ ] **V1.5：** 对可疑的 `.zip` 存档进行自动文件 carving。 * [ ] **V2.0：** USB 到网络握手的实时 PCAP 分析。 ## ⚖️ 道德使用 Guardian-OT 专为 **防御性安全研究** 和 **工业维护** 构建。仅应对您拥有或已获得明确授权进行审计的硬件使用。 **由 [404saint](https://www.google.com/search?q=https://github.com/404saint)** 开发

标签：Air-Gap安全, BadUSB, DNS信息、DNS暴力破解, ENIP, ICS/OT安全, Kubernetes, S7协议, USB安全, YARA规则, 位翻检测, 供应商驱动验证, 协议狩猎, 可移动介质, 安全基线, 完整性校验, 工业协议, 工业控制系统, 异常检测, 教学环境, 文件系统审计, 熵分析, 硬件UUID, 硬件取证, 纵深防御, 设备指纹, 运营技术, 逆向工具, 高熵负载