AndrewS097/ObfusCheck

GitHub: AndrewS097/ObfusCheck

ObfusCheck 是一个用于静态扫描 PowerShell 脚本文件以检测混淆和可疑命令模式的轻量级防御性安全审查工具。

Stars: 0 | Forks: 0

# ObfusCheck ObfusCheck 是一个简单的 PowerShell 工具,用于扫描脚本文件以查找混淆和可疑模式的迹象。 该工具专为基本的防御性审查、恶意软件分类和学习而设计。它只读取正在扫描的文件,并不会执行它。 ## 功能 * 扫描脚本文件以查找可疑模式 * 检测编码的 PowerShell 命令 * 检测类似 Base64 的字符串 * 标记 Web 下载命令 * 标记隐藏执行选项 * 标记可疑的 Windows 实用程序 * 在终端中打印发现的结果 * 将发现的结果保存到 CSV 报告中 ## 检测内容 ObfusCheck 会查找以下模式: * `-EncodedCommand` * `FromBase64String` * `Invoke-Expression` * `Invoke-WebRequest` * `DownloadString` * `ExecutionPolicy Bypass` * `-WindowStyle Hidden` * `certutil` * `bitsadmin` * `mshta` * `rundll32` * `regsvr32` * 长且类似 Base64 的字符串 * 过长的行 * 大量的字符串拼接 * 大量的反引号 ## 要求 * Windows * PowerShell * Git * 需要扫描的脚本文件 ## 运行方式 ### 1. 打开 PowerShell 打开 **Windows PowerShell** 或 **Windows Terminal**。 ### 2. 克隆 GitHub 仓库 ``` git clone https://github.com/AndrewS097/ObfusCheck.git ``` ### 3. 进入项目文件夹 ``` cd ObfusCheck ``` ### 4. 运行 ObfusCheck ``` powershell -ExecutionPolicy Bypass -File .\ObfusCheck.ps1 ``` ### 5. 输入要扫描的文件 出现提示时,输入脚本文件名或路径。 示例: ``` example_script.ps1 ``` 你也可以输入完整的文件路径: ``` C:\Path\To\Your\File.ps1 ``` ## 示例工作流程 ``` git clone https://github.com/AndrewS097/ObfusCheck.git cd ObfusCheck powershell -ExecutionPolicy Bypass -File .\ObfusCheck.ps1 ``` 然后在出现提示时输入要扫描的文件。 ## 输出 如果发现可疑模式,该工具会在终端中打印发现的结果。 示例: ``` Possible Obfuscation Found Line: 1 Reason: Invoke-Expression execution Code: Invoke-Expression "example" ``` 该工具还会将发现的结果保存到: ``` obfuscheck_report.csv ``` ## 注意事项 ObfusCheck 不能证明脚本是恶意的。它仅识别可能需要进一步审查的可疑模式。 此工具旨在用于学习、演示和基本的防御性安全分析。
标签:AI合规, DNS 反向解析, IPv6, Libemu, PowerShell, Web技术栈, 云安全监控, 恶意代码分析, 网络信息收集, 网络安全研究, 配置文件, 静态分析