sxyjvs10/Windows-DFIR-Audit-Suite

GitHub: sxyjvs10/Windows-DFIR-Audit-Suite

一套轻量级 Windows 自动化 DFIR 工具包,通过用户态多阶段扫描和内核级检测脚本来排查隐蔽恶意软件与 rootkit 感染。

Stars: 0 | Forks: 0

# Windows DFIR 审计套件 一款适用于 Windows 的轻量级自动化数字取证与事件响应 (DFIR) 工具包。 该套件包含自定义的 Python 脚本,旨在追踪隐蔽的用户态恶意软件(如进行进程 hollowing 的加密货币挖矿机)以及 Ring-0 内核 rootkit。 ## 🧰 包含内容 * **`ThreatHunter.py`**:一个用户态的 7 阶段扫描器,用于审计进程、网络连接、持久化机制(注册表、计划任务、启动项)、在可疑位置的文件投放,以及基本的加密货币挖矿机特征。 * **`KernelRootkitScanner.py`**:一个专注于 Ring-0 的扫描器,使用 `ctypes` 与 Windows API 交互。它可以检测 DKOM (Direct Kernel Object Manipulation) 隐藏进程、未签名的内核驱动程序、minifilter I/O 拦截以及 MBR bootkit。 * **`Run_Security_Audit.bat`**:一个主包装脚本,按顺序运行这两个 Python 工具,并将它们的输出合并到您桌面上的一个单一、清晰的报告文件中。 ## 🚀 使用方法 1. **环境要求:** 目标计算机上必须安装 Python 3。 2. **下载:** 克隆或下载此代码库,确保所有三个文件都在同一个文件夹中。 3. **执行:** 右键单击 **`Run_Security_Audit.bat`** 并选择 **“以管理员身份运行”**。 *(注意:严格需要管理员权限。如果您以标准用户身份运行,内核检查和系统级文件检查将会失败并返回误报)。* 4. **审查:** 脚本执行完毕后,将生成一个 `MASTER_SECURITY_AUDIT` 文本文件,其中包含两次扫描完整合并的结果。 ## ⚠️ 局限性 内核扫描器在用户态 (Ring-3) 运行。技术高超的内核 rootkit (Ring-0) 理论上可以操纵此脚本使用的 API 来保持隐藏。对于已确认的深层内核感染,请始终使用专门的内核态扫描器(如 Kaspersky TDSSKiller 或 GMER)来补充此工具包。 *开发于一次旨在根除深层潜伏的加密货币挖矿机的活跃事件响应行动中。*
标签:Python, 库, 应急响应, 恶意软件扫描, 无后门, 端点可见性, 逆向工具