Mal-Suen/IntrusionScope

# IntrusionScope [](LICENSE) [](https://golang.org/) [](https://www.rust-lang.org/) [](https://github.com/Mal-Suen/IntrusionScope) ## 🇬🇧 英文文档 ### 📖 简介 IntrusionScope 是一款强大的基于主机的取证数据采集与威胁检测工具，专为应急响应人员和威胁猎手设计。它融合了顶级 DFIR 工具的最佳实践，提供全面的取证数据采集、自定义查询语言 (IFQL) 以及多源威胁检测能力。 ### 🚀 核心特性 | 特性 | 描述 | | :--- | :--- | | **🔍 全面采集** | 跨 Windows/Linux/macOS 的进程、网络、文件系统、注册表、日志 | | **⚡ Rust 检测引擎** | 通过 CGO 集成的高性能 IOC/Sigma/YARA 检测 | | **📝 IFQL 查询语言** | 类 SQL 语法，灵活分析取证数据 | | **🔧 可扩展架构** | 基于插件的采集器与检测器 | | **📊 多种输出格式** | JSON、CSV、HTML 报告生成 | ### 🛠️ 采集器 #### 进程采集器 - 运行进程列表 (PID, PPID, 名称, exe, cmdline, 用户) - 具有父子关系的进程树 - 进程打开的文件 - 内存使用信息 #### 网络采集器 - 具有进程映射的活动 TCP/UDP 连接 - 监听端口 - DNS 缓存条目 - ARP 缓存 - Hosts 文件条目 #### 文件系统采集器 - 最近修改的文件 - 文件哈希计算 (MD5, SHA1, SHA256) - Bash 历史记录 (Linux) - Cron 任务 & Systemd 服务 (Linux) - 计划任务 & 自启动项 (Windows) - SUID/SGID 文件 (Linux) #### 注册表采集器 (Windows) - Run/RunOnce 键 - 服务配置 - 持久化机制 - USB 设备历史 - UserAssist 条目 #### 日志采集器 - 认证日志 (auth.log, secure) - Syslog & wtmp/btmp - Auditd 日志 & Systemd journal - Windows 事件日志 - Web 服务器日志 ### 📊 检测引擎 基于 Rust 的检测引擎提供： - **IOC 检测**: 哈希、IP、域名、URL 匹配 - **Sigma 规则**: 基于 YAML 的检测规则 - **YARA 模式**: 文件和内存的模式匹配 - **Aho-Corasick 匹配器**: 快速多模式匹配 ### 📝 IFQL 查询语言 使用类 SQL 语法查询采集数据： ``` SELECT name, pid, exe FROM process.list WHERE name LIKE '%powershell%' SELECT * FROM network.connections WHERE state = 'ESTABLISHED' AND remote_port = 443 SELECT * FROM log.auth WHERE type = 'failed_login' LIMIT 100 ``` ### 🚀 快速开始 #### 安装 ``` # Clone 仓库 git clone https://github.com/Mal-Suen/IntrusionScope.git cd IntrusionScope # 构建 Go 二进制文件 go build -o intrusionscope ./cmd/intrusionscope # 构建 Rust 引擎（可选，用于高级检测） cd engine && cargo build --release ``` #### 前置条件 - Go 1.21 或更高版本 - Rust 1.70 或更高版本 (用于检测引擎) - GCC/MinGW (Windows 上的 CGO) #### 基本用法 ``` # 显示帮助 intrusionscope --help # 收集所有 artifacts intrusionscope collect --all # 收集特定 artifacts intrusionscope collect --artifacts process.list,network.connections # 运行检测 intrusionscope detect -i ./output # 查询已收集的数据 intrusionscope query "SELECT * FROM process.list WHERE name LIKE '%cmd%'" # 输出格式 intrusionscope collect --all --output json --file results.json ``` ### 📂 项目结构 ``` IntrusionScope/ ├── cmd/intrusionscope/ # Main CLI entry point ├── pkg/ │ ├── collector/ # Artifact collectors │ ├── detector/ # Detection engine & IOC/Sigma/YARA │ ├── ifql/ # Query language parser & executor │ ├── artifact/ # Artifact definitions │ └── signature/ # Signature management ├── internal/ │ ├── config/ # Configuration handling │ └── output/ # Output formatting ├── engine/ # Rust detection engine ├── artifacts/builtin/ # Built-in artifact definitions └── configs/playbooks/ # Investigation playbooks ``` ## 🇨🇳 中文文档 ### 📖 项目简介 IntrusionScope 是一款强大的主机取证与威胁检测工具，专为应急响应人员和威胁猎手设计。它融合了顶级 DFIR 工具的最佳实践，提供全面的取证数据采集、自定义查询语言 (IFQL) 以及多源威胁检测能力。 ### 🚀 核心特性 | 特性 | 描述 | | :--- | :--- | | **🔍 全面采集** | 跨 Windows/Linux/macOS 的进程、网络、文件系统、注册表、日志 | | **⚡ Rust 检测引擎** | 通过 CGO 集成的高性能 IOC/Sigma/YARA 检测 | | **📝 IFQL 查询语言** | 类 SQL 语法，灵活分析取证数据 | | **🔧 可扩展架构** | 插件式采集器与检测器 | | **📊 多种输出格式** | JSON、CSV、HTML 报告生成 | ### 🛠️ 采集器 #### 进程采集器 - 运行进程列表 (PID, PPID, 名称, 路径, 命令行, 用户) - 父子关系的进程树 - 进程打开的文件 - 内存使用信息 #### 网络采集器 - TCP/UDP 连接及进程映射 - 监听端口 - DNS 缓存 - ARP 缓存 - Hosts 文件 #### 文件系统采集器 - 最近修改的文件 - 文件哈希计算 (MD5, SHA1, SHA256) - Bash 历史 (Linux) - Cron 任务 & Systemd 服务 (Linux) - 计划任务 & 自启动项 (Windows) - SUID/SGID 文件 (Linux) #### 注册表采集器 (Windows) - Run/RunOnce 键 - 服务配置 - 持久化机制 - USB 设备历史 - UserAssist 条目 #### 日志采集器 - 认证日志 (auth.log, secure) - Syslog & wtmp/btmp - Auditd 日志 & Systemd journal - Windows 事件日志 - Web 服务器日志 ### 📊 检测引擎 基于 Rust 的高性能检测引擎提供： - **IOC 检测**: 哈希、IP、域名、URL 匹配 - **Sigma 规则**: 基于 YAML 的检测规则 - **YARA 模式**: 文件和内存的模式匹配 - **Aho-Corasick 匹配器**: 快速多模式匹配 ### 📝 IFQL 查询语言 使用类 SQL 语法查询采集数据： ``` SELECT name, pid, exe FROM process.list WHERE name LIKE '%powershell%' SELECT * FROM network.connections WHERE state = 'ESTABLISHED' AND remote_port = 443 SELECT * FROM log.auth WHERE type = 'failed_login' LIMIT 100 ``` ### 🚀 快速开始 #### 安装 ``` # 克隆仓库 git clone https://github.com/Mal-Suen/IntrusionScope.git cd IntrusionScope # 编译 Go 二进制 go build -o intrusionscope ./cmd/intrusionscope # 编译 Rust 引擎 (可选，用于高级检测) cd engine && cargo build --release ``` #### 环境要求 - Go 1.21 或更高版本 - Rust 1.70 或更高版本 (检测引擎) - GCC/MinGW (Windows 上的 CGO) #### 基本用法 ``` # 显示帮助 intrusionscope --help # 采集所有取证数据 intrusionscope collect --all # 采集指定数据 intrusionscope collect --artifacts process.list,network.connections # 运行威胁检测 intrusionscope detect -i ./output # 查询采集数据 intrusionscope query "SELECT * FROM process.list WHERE name LIKE '%cmd%'" # 输出格式 intrusionscope collect --all --output json --file results.json ``` ### 📂 目录结构 ``` IntrusionScope/ ├── cmd/intrusionscope/ # CLI 主入口 ├── pkg/ │ ├── collector/ # 取证数据采集器 │ ├── detector/ # 检测引擎 & IOC/Sigma/YARA │ ├── ifql/ # 查询语言解析器与执行器 │ ├── artifact/ # 取证数据定义 │ └── signature/ # 特征库管理 ├── internal/ │ ├── config/ # 配置处理 │ └── output/ # 输出格式化 ├── engine/ # Rust 检测引擎 ├── artifacts/builtin/ # 内置取证数据定义 └── configs/playbooks/ # 调查剧本 ``` ## 🤝 贡献与联系 * **作者:** Mal-Suen * **博客:** [Mal-Suen 的博客](https://blog.mal-suen.cn) * **GitHub:** [https://github.com/Mal-Suen/IntrusionScope](https://github.com/Mal-Suen/IntrusionScope) ## 🙏 致谢 灵感来源于： - [Velociraptor](https://github.com/Velocidex/velociraptor) - [OSQuery](https://github.com/osquery/osquery) - [Sigma](https://github.com/SigmaHQ/sigma) *版权所有 © 2024-2026 Mal-Suen。基于 MIT 许可证发布。*

标签：CGO, Conpot, DAST, DNS信息、DNS暴力破解, DNS 解析, EDR, EVTX分析, Go语言, HTTP工具, IFQL查询语言, IOC检测, macOS安全, Mr. Robot, Rust语言, Sigma规则, Windows安全, YARA规则, 主机取证, 可视化界面, 子域名变形, 安全分析与运营, 安全检测引擎, 库, 应急响应, 恶意软件分析, 插件架构, 数字取证, 数字取证工具, 无线安全, 日志审计, 注册表分析, 目标导入, 程序破解, 端点安全, 网络安全, 网络安全审计, 网络连接分析, 聊天机器人, 脆弱性评估, 自动化脚本, 补丁管理, 进程分析, 隐私保护