abil24/RegFil

GitHub: abil24/RegFil

RegFil 是一款基于 Python 的开源工具,通过自动分析 Regshot 注册表比较文件并过滤系统噪声,帮助安全分析师快速识别与恶意软件相关的可疑注册表修改。

Stars: 0 | Forks: 0

RegFil 开源的专注于恶意软件的 Regshot 分析工具。 RegFil 是一款基于 Python 的工具,旨在分析 Regshot 比较文件,以识别潜在的恶意注册表修改。它会过滤常见的 Windows 注册表噪声,并突出显示与恶意软件持久化、防御规避、权限提升及其他基于注册表的技术相关的可疑注册表活动。 功能 分析 Regshot 比较文件 自动支持 UTF-16 文件 基于注册表的恶意软件检测 基于规则的检测引擎 Windows 注册表噪声过滤 MITRE ATT&CK 技术映射 风险评分 用户友好的 GUI 开源 检测类别 RegFil 可检测常见的基于注册表的恶意软件行为,包括: 持久化 Run / RunOnce Services Winlogon UserInit Active Setup 防御规避 篡改 Windows Defender 修改防火墙 权限提升 UAC bypass DelegateExecute Fodhelper 执行劫持 IFEO AppInit DLLs COM Hijacking 凭证访问 WDigest Authentication Packages 系统修改 BootExecute 注册表配置更改 环境要求 Python 3.10+ ttkbootstrap 安装依赖项: pip install -r requirements.txt 使用方法 使用 Regshot 生成比较文件。 启动 RegFil。 python main.py 点击 Browse 并选择 Regshot 比较文件。 点击 Analyze。 查看分析结果。 截图 摘要 发现 MITRE 映射 已过滤的注册表事件 项目结构 RegFil/ │ ├── regfil.py ├── core/ ├── gui/ ├── rules/ ├── filters/ ├── requirements.txt └── README.md 当前局限性 仅支持基于规则的检测 仅检测基于注册表的技术 专为 Regshot 比较文件设计 不能替代完整的恶意软件分析 贡献 欢迎贡献。 ## 免责声明 ⚠️ **风险自负** RegFil 是一款开源的、基于规则的注册表分析工具,专为教育、研究和恶意软件分析目的而开发。 - 检测基于预定义的规则和行为启发式算法。 - 该工具**可能会产生误报或漏报**。 - 它**不保证**能够准确检测所有恶意或良性的注册表修改。 - 分析结果应始终进行**人工验证**,并结合其他安全工具和取证技术使用。 - 开发者**不对**因使用本软件而产生的任何决策、损害或后果负责。 RegFil 旨在通过减少 Regshot 分析期间的人工工作量来协助分析师,**不应被视为专业恶意软件分析或商业安全解决方案的替代品。** 您可以通过以下方式提供帮助: 添加新的检测规则 改进注册表过滤器 增强 GUI 报告 bug 许可证 MIT 许可证 作者 Abil A 网络安全 | 恶意软件分析 | 威胁研究
标签:AMSI绕过, CSV导出, DAST, GUI工具, Python, 威胁检测, 恶意软件分析, 无后门, 注册表分析, 逆向工具