lateidev/Paster-Defender

# 🛡️ PASTER DEFENDER

Advanced Malware, Luckyware, RAT & SDK Poisoning Detection and Removal Tool

## ・这是什么？ **PASTER DEFENDER** 是一款安全与系统净化工具，旨在分析、检测、清理并防范 RAT、恶意编译器执行事件、SDK 投毒向量以及内存投放器。该工具采用自定义的现代控制台 UI，具有蓝白主题、分层透明度和丰富的命令行动画效果。 ## ・核心功能 ### 1. 交互式 CMD 控制面板 * **流畅的键盘导航：** 使用方向键（上/下）+ 回车键控制选项选择，或使用直接数字键（`1`-`8`，`0`）即时触发操作。 * **累计会话威胁徽章：** 实时显示使用过程中被标记的总文件数计数器。 * **管理员权限自动提升：** 自动检测用户权限，并以管理员权限重新启动，以安全处理系统级的防火墙规则和目录修改。 ### 2. 多向量反恶意软件分析 * **SDK 注入防护：** 识别并从 `.h`/`.hpp` 头文件中剥离 SDK 投毒代码行（例如 `namespace VccLibaries`、`namespace SDKInfector`、`Bombakla`、`Rundollay`、`InfectSDK`、`InfectINIT`）。 * **ImGui 混淆清理器：** 检测并清理 `imgui` 配置源文件中恶意嵌入的十六进制二进制 payload 和隐藏的系统调用投放器。 * **PE 可执行文件与 YARA 签名检查：** 扫描二进制文件，查找多个 MZ 头、被劫持的可执行 PE 区段头（`.rcd` 区段）以及已知的恶意软件模式。 * **Visual Studio 项目净化器：** 清理 `.vcxproj`/`.csproj` 项目中隐藏的下载器构建事件（例如，隐藏的 PowerShell 命令字符串、Web 请求），并擦除损坏的 `.suo` payload。 * **时间命名临时投放器扫描：** 扫描临时目录中按时间命名的可执行脚本。 ### 3. 主动系统免疫 * **网络 C2 阻断引擎：** 自动将已知的 C2 恶意域名注入系统 `hosts` 文件，并为恶意 IP 配置 Windows 高级防火墙阻断策略。 * **进程清理：** 立即终止已知的恶意可执行进程（`Berok.exe`、`Retev.exe`、`Zetolac.exe`、`HPSR.exe`）。 * **实时目录监视器：** 使用 `watchdog` 持续跟踪受监控的目录。对创建或更新的文件立即进行扫描，以阻止新的感染。 ### 4. 视听诊断 * **10 种语言的故障标题栏：** 控制台窗口标题栏在 10 种语言之间循环切换，并配以随机的矩阵样式。 * **背景音频提示：** 异步发出赛博朋克警告音和完成提示音，且不会中断扫描过程。 * **ASCII 报告网格：** 在结构精美的 ASCII 表格中输出最终的威胁摘要报告，列出详细信息、类别和清理状态。 * **实时跑马灯状态：** 在界面底部渲染当前活动文件的截断路径文本。 ## ・使用方法与要求 ### 技术要求 * **平台：** Windows（带有控制台主机 / 命令提示符）。 * **Python 版本：** Python 3.8 或更高版本。 * **Python 库：** `pefile`、`yara-python`、`colorama` 和 `watchdog`（如果未找到，脚本会自动安装这些库）。 ### 执行方式 #### 选项 1：运行预编译的可执行文件 从 **Releases** 部分下载最新的 `PasterDefender.exe`，并以管理员身份运行。 #### 选项 2：从源码运行 以管理员身份打开终端提示符并运行： ``` python PasterDefender.py ``` ## ・免责声明 本工具仅供**教育和威胁分析目的**使用。修改源头文件头、构建网络阻断以及停止系统任务在生产服务器上应谨慎执行。开发者对系统更改不承担任何责任。

由 latei 开发

标签：C2防护, 命令行界面, 恶意软件检测与清除, 系统防护, 终端安全, 逆向工具