Jack-McDowell/DEEPGLASS

# DEEPGLASS DEEPGLASS 在 [BLUESPAWN](https://github.com/ION28/BLUESPAWN) 停止的地方继续，进行全面的系统扫描。DEEPGLASS 提供系统注册表、文件系统和内存/活动进程的扫描。如下所述。 * **注册表**：枚举存储在注册表中的每个值并扫描，以确定其是否引用 PE 文件。如果引用，则扫描该文件。 * **文件系统**：扫描位于 `%PATH%` 列出的任何目录中的每个文件。此外，扫描 WinSxS 子系统的所有文件。 * **内存/活动进程**：扫描所有打开的文件句柄和加载的模块。此外，扫描加载到内存中的所有 PE 文件并将其与关联文件进行比较。任何与关联文件相差超过 500 字节的 PE 文件都将被记录。 需要注意的是，上述图像一致性检查并非用于检测所有内存攻击；其唯一目的是识别试图在内存中伪装成合法 DLL 或 EXE 的恶意软件。具体来说，它不会检测通过代码补丁或 IAT 修改进行的钩子，也不会检测内存中投放的 shellcode Blob。另一个即将推出的模块将解决后一个问题。 ### 说明 DEEPGLASS 是 BLUESPAWN 的补充，因为它可能能够识别 BLUESPAWN 遗漏的内容，但它并不是替代品。DEEPGLASS 旨在让防御者了解全局，或为取证调查员提供对受感染系统进行调查的快速起点，而不是提供防御选项。此外，BLUESPAWN 具有更详细的检测、扫描能力和响应措施，能够检测到 DEEPGLASS 会遗漏的混淆技术。 DEEPGLASS 扫描也需要更长的时间完成，并且比 BLUESPAWN 有更多的误报。 ## 使用方法 ``` DEEPGLASS.exe ``` 结果将写入 `.\DEEPGLASS-Results`。总结每次扫描结果的文本文档将写入该目录，所有被识别为潜在恶意的文件将被复制到 `.\DEEPGLASS-Results\Files`。 ## 文档 DEEPGLASS 中的每个函数都有 doxygen 注释，描述该函数的工作原理。

标签：Conpot, EDR, PE文件分析, SecList, Sysinternals工具, Windows安全, WinSxS扫描, 内存取证, 恶意文件扫描, 数字取证, 文件分析, 文件完整性检查, 注册表分析, 端点可见性, 系统安全工具, 终端检测与响应, 脆弱性评估, 自动化脚本, 进程分析