AndrewS097/ObfusCheck
GitHub: AndrewS097/ObfusCheck
ObfusCheck 是一个用于静态扫描 PowerShell 脚本文件以检测混淆和可疑命令模式的轻量级防御性安全审查工具。
Stars: 0 | Forks: 0
# ObfusCheck
ObfusCheck 是一个简单的 PowerShell 工具,用于扫描脚本文件以查找混淆和可疑模式的迹象。
该工具专为基本的防御性审查、恶意软件分类和学习而设计。它只读取正在扫描的文件,并不会执行它。
## 功能
* 扫描脚本文件以查找可疑模式
* 检测编码的 PowerShell 命令
* 检测类似 Base64 的字符串
* 标记 Web 下载命令
* 标记隐藏执行选项
* 标记可疑的 Windows 实用程序
* 在终端中打印发现的结果
* 将发现的结果保存到 CSV 报告中
## 检测内容
ObfusCheck 会查找以下模式:
* `-EncodedCommand`
* `FromBase64String`
* `Invoke-Expression`
* `Invoke-WebRequest`
* `DownloadString`
* `ExecutionPolicy Bypass`
* `-WindowStyle Hidden`
* `certutil`
* `bitsadmin`
* `mshta`
* `rundll32`
* `regsvr32`
* 长且类似 Base64 的字符串
* 过长的行
* 大量的字符串拼接
* 大量的反引号
## 要求
* Windows
* PowerShell
* Git
* 需要扫描的脚本文件
## 运行方式
### 1. 打开 PowerShell
打开 **Windows PowerShell** 或 **Windows Terminal**。
### 2. 克隆 GitHub 仓库
```
git clone https://github.com/AndrewS097/ObfusCheck.git
```
### 3. 进入项目文件夹
```
cd ObfusCheck
```
### 4. 运行 ObfusCheck
```
powershell -ExecutionPolicy Bypass -File .\ObfusCheck.ps1
```
### 5. 输入要扫描的文件
出现提示时,输入脚本文件名或路径。
示例:
```
example_script.ps1
```
你也可以输入完整的文件路径:
```
C:\Path\To\Your\File.ps1
```
## 示例工作流程
```
git clone https://github.com/AndrewS097/ObfusCheck.git
cd ObfusCheck
powershell -ExecutionPolicy Bypass -File .\ObfusCheck.ps1
```
然后在出现提示时输入要扫描的文件。
## 输出
如果发现可疑模式,该工具会在终端中打印发现的结果。
示例:
```
Possible Obfuscation Found
Line: 1
Reason: Invoke-Expression execution
Code:
Invoke-Expression "example"
```
该工具还会将发现的结果保存到:
```
obfuscheck_report.csv
```
## 注意事项
ObfusCheck 不能证明脚本是恶意的。它仅识别可能需要进一步审查的可疑模式。
此工具旨在用于学习、演示和基本的防御性安全分析。
标签:AI合规, DNS 反向解析, IPv6, Libemu, PowerShell, Web技术栈, 云安全监控, 恶意代码分析, 网络信息收集, 网络安全研究, 配置文件, 静态分析