ErenCanOzmn/SafiyeMonitor

GitHub: ErenCanOzmn/SafiyeMonitor

面向Windows厚客户端的一站式安全分析与逆向工程平台,整合Frida插桩、流量拦截、内存分析和漏洞检测功能。

Stars: 2 | Forks: 0

# Safiye - 新一代厚客户端渗透测试工具 ![许可证](https://img.shields.io/badge/license-MIT-blue.svg) ![Python](https://img.shields.io/badge/Python-3.10%2B-brightgreen.svg) ![Frida](https://img.shields.io/badge/Frida-16.0%2B-orange.svg) ![平台](https://img.shields.io/badge/Platform-Windows-lightgrey.svg) Safiye 是一个专业的一体化安全分析和逆向工程平台,专为桌面应用程序(厚客户端)设计。Safiye 由 Frida 插桩引擎和现代化的 FastAPI Web 界面提供支持,让您能够拦截低级 API 调用、实时操作网络流量并进行深度内存分析,而无需接触调试器。 ## 主要功能 * **实时流量拦截(Intercept & Trap):** * 挂钩标准 ws2_32.dll(send/recv)和 WinHTTP/WinINet API。 * **Trap 模式:** 在传输途中暂停数据包、修改其内容,然后转发或丢弃。 * **深度内存分析:** * **实时内存转储:** 从进程 RAM 中提取所有可读的 ASCII/UTF-16 字符串。 * **硬编码密钥检测:** 自动查找隐藏在二进制文件中的密码、密钥和端点。 * **漏洞检测引擎:** * **不安全反序列化:** 实时检测流量中的 Java、Python Pickle、.NET BinaryFormatter 和 PHP 魔术字节。 * **DLL 劫持监控:** 识别"名称未找到"的库调用,以发现容易的本地权限提升途径。 * **数据库和系统监控:** * **SQL 拦截:** 对 MS-SQL(TDS 协议)查询进行低级挂钩。 * **文件和注册表监控:** 类似 Procmon 的敏感系统交互实时日志。 * **AI 驱动的分析(MCP 支持):** * 内置 Model Context Protocol(MCP)服务器,让 AI 模型(如 Claude 或 Gemini)自动分析您的渗透测试数据。 ## 安装说明 ### 前置条件 * Windows 操作系统 * Python 3.10+ * 系统上已安装 Frida。 ### 设置 1. 克隆仓库: git clone https://github.com/yourusername/Safiye.git cd Safiye 2. 安装依赖: pip install -r requirements.txt ## 使用指南 ### 1. 启动界面 运行主生产服务器: ``` python src/safiye_server_prod.py ``` 打开浏览器并访问 http://localhost:5000。 ### 2. 定位进程 * **Spawn(生成):** 输入 .exe 的完整路径并点击 Start Spawn。Safiye 将启动应用程序并从第一条指令开始挂钩。 * **Attach(附加):** 输入 PID 或进程名称并点击 Reattach 以挂钩当前正在运行的应用程序。 ### 3. 利用 Repeater 和 Intercept * 右键单击 History 选项卡中的任何捕获数据包,将其发送到 Repeater。 * 启用 RPC Trapping 以在请求到达服务器之前手动修改传出请求。 ## 使用 MCP 进行 AI 分析 Safiye 包含首个此类 Model Context Protocol(MCP)服务器。这允许安全研究人员将他们的 AI 助手直接连接到实时渗透测试数据。 **如何使用 MCP:** 1. 启动 Safiye 主服务器。 2. 在单独的终端中运行 MCP 桥接: python src/mcp_server.py 3. 将您的 MCP 兼容 AI(如 Claude Desktop)指向此服务器。 4. **询问 AI:** "分析最新的内存转储以查找潜在的 API 密钥"或"根据其日志检查此应用程序是否容易受到 DLL 劫持攻击"。 ## 项目结构 * `src/`:核心 Python 服务器、Web UI(HTML/CSS/JS)和 MCP 桥接。 * `hooks/`:高级 Frida JavaScript 注入脚本。 * `docs/`:详细架构和渗透测试检查清单。 ## 免责声明 Safiye 仅用于合法的安全测试、教育目的和专业研究。作者不对此工具造成的任何滥用或损害负责。在测试任何非您所有的软件之前,请务必获得明确许可。 ## 许可证 本项目根据 MIT 许可证授权 - 有关详细信息请参阅 LICENSE 文件。
标签:AI安全分析, API Hook, AV绕过, CISA项目, Conpot, CTF工具, DAST, DLL劫持, DLL注入, DNS 反向解析, Docker支持, FastAPI, Frida, Go语言工具, HTTP工具, IP 地址批量处理, JARM, MCP, Python, SQL注入检测, TDS协议, Thick Client, Windows安全, WinHTTP, WinINet, WS2_32, 不安全反序列化, 云资产清单, 内存分析, 实时流量修改, 恶意软件分析, 数据可视化, 数据泄露, 文件监控, 无后门, 无线安全, 注册表监控, 流量审计, 漏洞搜索, 硬编码密钥检测, 端点可见性, 网络流量拦截, 自定义脚本, 调试辅助, 逆向工具, 逆向工程