archana1122m/HexaGuard-EDR
GitHub: archana1122m/HexaGuard-EDR
一个基于 Python 的轻量级行为端点检测与响应平台,通过实时进程监控和多种行为检测规则实现自动化威胁发现与响应。
Stars: 0 | Forks: 0
# 🛡 HexaGuard EDR
HexaGuard EDR 是一个轻量级行为端点检测与响应 (EDR) 平台,使用 Python 开发,用于实时威胁检测、可疑进程监控、自动化响应和事件报告。
# 🚀 功能特性
- 实时进程监控
- 行为威胁检测
- 编码 PowerShell 检测
- 可疑路径执行检测
- 黑名单进程检测
- 高 CPU 使用率检测
- 高内存使用率检测
- Office → Shell 进程派生检测
- 自动化进程终止
- 隔离系统
- 实时监控仪表板
- 警报日志记录
- 事件报告
- CSV 报告生成
# 🧠 检测能力
- 编码 PowerShell 检测
检测 Base64 编码的 PowerShell 命令和可疑脚本活动。
- 可疑路径执行检测
检测从 Temp、Public 和 Downloads 等可疑目录启动的可执行文件。
- 黑名单进程检测
检测已知的恶意或黑名单进程名称。
- 高 CPU 使用率检测
检测异常消耗 CPU 的进程和潜在的资源滥用行为。
- 高内存使用率检测
检测过多的内存消耗和内存滥用活动。
- Office 子进程检测
检测派生诸如 CMD 或 PowerShell 等 Shell 进程的 Office 应用程序。
# 🛠 使用的技术
- Python
- psutil
- customtkinter
- plyer
# 📂 项目结构
```
HexaGuard-EDR/
│
├── main.py
├── config.py
├── requirements.txt
├── README.md
│
├── engine/
│ ├── process_monitor.py
│ ├── detection_engine.py
│ ├── response_engine.py
│ ├── threat_scoring.py
│ ├── report_generator.py
│ └── service_monitor.py
│
├── gui/
│ └── dashboard.py
│
├── blacklist/
│ ├── process_blacklist.txt
│ └── path_blacklist.txt
```
# ⚙️ 安装说明
## 下载项目
以 ZIP 格式下载仓库并解压。
## 进入项目文件夹
```
cd HexaGuard-EDR
```
## 创建虚拟环境
```
python -m venv venv
```
## 激活虚拟环境
### Windows
```
venv\Scripts\activate
```
## 安装依赖
```
pip install -r requirements.txt
```
# ▶️ 运行项目
```
python main.py
```
# 🧪 测试命令
## 编码 PowerShell 检测
```
powershell -enc VwBoAGkAbABlACAAKAAkAHQAcgB1AGUAKQAgAHsAIABTAHQAYQByAHQALQBTAGwAZQBlAHAAIAAxACAAfQA=
```
## 黑名单恶意软件检测
```
copy C:\Windows\System32\cmd.exe mimikatz.exe
mimikatz.exe
```
## 可疑路径执行检测
```
copy C:\Windows\System32\cmd.exe %TEMP%\evil.exe
%TEMP%\evil.exe
```
## 高 CPU 使用率检测
```
powershell -command "while($true){}"
```
## 高内存使用率检测
```
powershell -command "$a=@(); while($true){$a += 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA'}"
```
# 📊 仪表板
HexaGuard EDR 包含一个现代化的图形化仪表板,具有以下功能:
- 实时威胁信息
- 威胁评分
- 检测原因
- 已阻止进程计数器
- 实时监控状态
# 📑 报告
平台会自动生成:
- 警报日志
- 事件日志
- CSV 安全报告
# 🔒 自动化响应
当检测到恶意或可疑行为时,HexaGuard EDR 可以:
- 终止进程
- 生成警报
- 记录事件
- 隔离可执行文件
- 生成安全报告
# 📸 屏幕截图
推荐的屏幕截图:
- 仪表板
- 测试
- 警报生成
- 终端输出
- 仪表板输出
# 🎯 项目类型
网络安全 / 蓝队 / 端点安全 / 行为检测
# 👨💻 作者
本项目作为专注于行为端点检测、威胁监控和自动化事件响应的网络安全项目开发。
# 🎯 项目类型
网络安全 / 蓝队 / 端点安全 / 行为检测
# 👨💻 作者
本项目作为专注于行为端点检测、威胁监控和自动化事件响应的网络安全项目开发。标签:Base64解码, Conpot, customtkinter, DNS 反向解析, DNS 解析, EDR, MDR, OpenCanary, psutil, Python, Qt, SOC工具, Web技术栈, Windows安全, 威胁情报, 威胁监控, 安全仪表盘, 安全运营, 安全防护, 库, 应急响应, 开发者工具, 扫描框架, 无后门, 漏洞发现, 端点检测与响应, 终端安全, 网络安全, 脆弱性评估, 脱壳工具, 自动化响应, 行为检测, 资源监控, 逆向工具, 防病毒, 隐私保护, 黑白名单