abil24/RegFil
GitHub: abil24/RegFil
RegFil 是一款基于 Python 的开源工具,通过自动分析 Regshot 注册表比较文件并过滤系统噪声,帮助安全分析师快速识别与恶意软件相关的可疑注册表修改。
Stars: 0 | Forks: 0
RegFil
开源的专注于恶意软件的 Regshot 分析工具。
RegFil 是一款基于 Python 的工具,旨在分析 Regshot 比较文件,以识别潜在的恶意注册表修改。它会过滤常见的 Windows 注册表噪声,并突出显示与恶意软件持久化、防御规避、权限提升及其他基于注册表的技术相关的可疑注册表活动。
功能
分析 Regshot 比较文件
自动支持 UTF-16 文件
基于注册表的恶意软件检测
基于规则的检测引擎
Windows 注册表噪声过滤
MITRE ATT&CK 技术映射
风险评分
用户友好的 GUI
开源
检测类别
RegFil 可检测常见的基于注册表的恶意软件行为,包括:
持久化
Run / RunOnce
Services
Winlogon
UserInit
Active Setup
防御规避
篡改 Windows Defender
修改防火墙
权限提升
UAC bypass
DelegateExecute
Fodhelper
执行劫持
IFEO
AppInit DLLs
COM Hijacking
凭证访问
WDigest
Authentication Packages
系统修改
BootExecute
注册表配置更改
环境要求
Python 3.10+
ttkbootstrap
安装依赖项:
pip install -r requirements.txt
使用方法
使用 Regshot 生成比较文件。
启动 RegFil。
python main.py
点击 Browse 并选择 Regshot 比较文件。
点击 Analyze。
查看分析结果。
截图
摘要
发现
MITRE 映射
已过滤的注册表事件
项目结构
RegFil/
│
├── regfil.py
├── core/
├── gui/
├── rules/
├── filters/
├── requirements.txt
└── README.md
当前局限性
仅支持基于规则的检测
仅检测基于注册表的技术
专为 Regshot 比较文件设计
不能替代完整的恶意软件分析
贡献
欢迎贡献。
## 免责声明
⚠️ **风险自负**
RegFil 是一款开源的、基于规则的注册表分析工具,专为教育、研究和恶意软件分析目的而开发。
- 检测基于预定义的规则和行为启发式算法。
- 该工具**可能会产生误报或漏报**。
- 它**不保证**能够准确检测所有恶意或良性的注册表修改。
- 分析结果应始终进行**人工验证**,并结合其他安全工具和取证技术使用。
- 开发者**不对**因使用本软件而产生的任何决策、损害或后果负责。
RegFil 旨在通过减少 Regshot 分析期间的人工工作量来协助分析师,**不应被视为专业恶意软件分析或商业安全解决方案的替代品。**
您可以通过以下方式提供帮助:
添加新的检测规则
改进注册表过滤器
增强 GUI
报告 bug
许可证
MIT 许可证
作者
Abil A
网络安全 | 恶意软件分析 | 威胁研究
标签:AMSI绕过, CSV导出, DAST, GUI工具, Python, 威胁检测, 恶意软件分析, 无后门, 注册表分析, 逆向工具