Eshaan49/keylogger-detection

# 键盘记录器检测工具 (Windows) ## 概述 键盘记录器检测工具是一个基于 Windows 的网络安全项目，它使用基于行为的分析来识别和响应潜在的恶意进程。 与主要依赖恶意软件特征的传统防病毒解决方案不同，该工具根据通常与键盘记录器和信息窃取恶意软件相关的可疑行为指标来评估正在运行的进程。 其目的是演示核心的端点安全概念，如进程监控、行为分析、威胁评分和自动化响应。 ## 功能 * 实时进程监控 * 基于行为的威胁评分 * 启动项持久化检测 * 网络活动监控 * 自动化威胁响应 * 事件日志和取证追踪 * 通过进程白名单减少误报 ## 检测方法 每个正在运行的进程都会被分析，并根据观察到的行为分配一个威胁评分。 | 行为 | 评分 | | ------------------------------------- | ----- | | 从 AppData 或 Temp 目录运行 | +1 | | 持续的 CPU 活动 | +1 | | 活跃的网络通信 | +2 | | 检测到启动项持久化 | +2 | ### 检测阈值 在以下情况下，进程会被视为可疑： 评分 ≥ 4 达到阈值的进程将被标记并自动终止。 这种方法通过要求多个可疑指标而不是仅依赖于单一行为，从而减少了误报。 ## 系统架构 ``` Running Processes | v Process Enumeration | v Behavior Analysis Engine | v Threat Scoring Engine | v Alert & Response Module | v Event Logging System ``` ## 使用的技术 * Python * psutil * Windows Registry (winreg) ## 安装 克隆代码库： ``` git clone https://github.com/YOUR_USERNAME/keylogger-detection.git cd keylogger-detection ``` 安装依赖项： ``` pip install -r requirements.txt ``` ## 用法 运行检测器： ``` python keylogger_detector.py ``` 可以使用包含的虚拟进程模拟器执行可选的测试： ``` python dummy_logger.py ``` ## 检测工作流示例 1. 枚举活动进程。 2. 监控进程行为。 3. 分配行为评分。 4. 计算总体威胁等级。 5. 针对可疑进程生成警报。 6. 终止高风险进程。 7. 记录所有操作以供调查。 ## 截图 ### 检测器运行中  ### 扫描摘要  ### 日志输出  ## 局限性 * 无法检测内核级键盘记录器。 * 检测准确性取决于可观察的进程行为。 * 网络活动评分可能因环境而异。 * 可能需要管理员权限才能获得完全的可见性。 ## 未来增强功能 * GUI 仪表板 * Windows 服务集成 * 隔离机制 * 数字签名验证 * 增强的持久化检测 * 威胁情报集成 ## 教育目的免责声明 本项目仅出于教育和防御性网络安全目的而开发。 该工具旨在演示端点监控和行为检测的概念。请勿将其用于干扰您不拥有或未经授权测试的系统。

标签：Python, Qt, 无后门, 终端安全, 逆向工具, 键盘记录器检测