ThisIsNotANamepng/Menoa
GitHub: ThisIsNotANamepng/Menoa
Menoa 是一款面向 Linux 的现代防病毒与安全监控工具,整合了恶意软件扫描、网络端点检测、进程分类和二进制校验等多项安全功能。
Stars: 1 | Forks: 0
# Menoa
Menoa 是一款专为 Linux 设计的现代、可脚本化的安全工具。它的目标是在遵循 Linux 原则的前提下,提供强大的恶意软件检测和系统监控功能。Menoa 不是一款漏洞扫描工具,而是专注于日常系统安全的安全伴侣。它是 Linux 版本的 Microsoft Defender,而不是 Lynis。
## 目前正在开发中。尚不可用
## 实用工具
它由五个主要工具组成:
- 基于 ClamAV 的防病毒软件
- 为最受欢迎的开源防病毒软件 ClamAV 提供了 CLI 和 GUI 前端*
- 网络连接端点扫描
- 将传出的 IP 地址连接与已知恶意端点列表进行比较*
- 机器学习驱动的进程分类(beta)
- 不是臃肿的 AI,而是一种智能、轻量级的检测运行中恶意软件的方法。工作正在进行中,目前尚不可用
- Bash 解析器(beta)
- 接收一个 bash 脚本作为输入,并用英文解释该脚本的功能。允许输入远程脚本(主要针对 install.sh 脚本)
- 二进制文件校验
- 通过提供已知良好哈希值的 API 来验证本地系统二进制文件的哈希值
\* 威胁情报由 Menoa 整理的开源订阅源提供支持。
## 软件原则
Menoa 是专门为 Linux 打造的,它遵循用户所要求的该操作系统的重要原则:
- 不妨碍用户
- 专注于智能、重要的功能并尽量减少臃肿
- 可脚本化
## 安装说明
### Linux
1. 使用 pip 安装:`pip install menoa`
2. 使用你的包管理器安装 ClamAV:`sudo apt install clamav`、`sudo dnf install clamav`、`sudo pacman -S clamav`
### Windows
1. 切换到 Linux
2. 查看 Linux 安装步骤
## 路线图:
### 重大更改:
- [ ] 添加一个计时器让 Menoa 在后台运行(可能使用 systemd)
- [ ] 在 GUI 中添加订阅源管理功能
### 细微更改:
- [ ] 解析进程连接的本地 IP 地址,并与威胁订阅源中分发的 URL 进行比较
- [ ] 为 URL 寻找更好的威胁订阅源,我认为它们可以更小且更适合这些需求,此外我认为这些订阅源可能仅用于恶意软件分发,而不包含诸如 c&c 服务器之类的内容 (https://urlhaus.abuse.ch/api/#csv)
- [ ] 网络监控是否应该包含 IPv6?目前并不包含
- [ ] 当 ClamAV 扫描正在运行时,进度百分比的文本行应位于圆圈中间
- [ ] 目前 ClamAV 仅使用官方源,但你可以加载自己的 YARA 规则,我们可以结合其他来源,制作自己的 YARA 规则威胁订阅源
- [ ] 添加在 /bin 及相关目录发生更改后(例如在软件包更新之后)运行校验的功能
- [ ] 添加使用指定订阅源进行 ClamAV 扫描的功能(CLI 和 GUI)
- [ ] 是否应该允许在配置中决定订阅源的更新频率?
- [ ] 在 GUI 中,能够在扫描中途停止扫描,而无需关闭窗口
- [ ] 任何篡改二进制文件的恶意软件也可能更改其在数据库中的哈希值(将二进制文件标记为已校验的本地数据库),添加一种使用 Menoa 提供的密钥对从 API 接收的哈希值进行签名的方法
- [ ] 将命令页面上的“加载模板”按钮更改为一个弹出输入框的按钮,让你可以输入指向 bash 文件的链接,它会下载并进行分析(专为 install.sh 文件设计)
- [ ] 改进仪表板、左列以及整体的 QSS(包括统一的颜色和图标)
- [ ] 添加注释,清理代码
- [ ] 目前校验获取软件包版本的函数仅支持 pacman,需添加更多包管理器
- [ ] 目前下载带有版本的订阅源会合并临时下载的文件和主文件,并将所有信息放在一行上,导致订阅源文件变成一长行,请使用换行符修复此问题
- [ ] 目前下载带有版本的订阅源时,并没有在任何地方标记新的补丁版本,请在配置中添加一个用于当前补丁版本的位置,并在更新时覆盖它
- [ ] 更新校验数据库中的 last_checked 列
- [ ] Pip 不会自动更新,需添加一个可选设置,让 Menoa 在后台自动更新自身
- [ ] 移除 quick/、standard/ 和 deep/ 目录,转而使用配置来决定每次扫描使用哪些订阅源
- [ ] 在 GUI 中添加执行不同类型扫描的选项
- [ ] 添加一个实用工具来完全重新下载订阅源,并清除过去的订阅源签名
- [ ] 进程扫描将高于阈值的进程判定为良性(benign),但目前只有部分能这样
- [ ] 为 CLI 工具添加一个状态选项,以查看后台工作是否开启或关闭
- [ ] 目前,当找不到进程扫描模型或校验表时,它会在没有用户交互的情况下自动下载,是否应该保持这样?
- [ ] 运行 ClamAV 扫描时,在扫描完成之前,进度圆圈已填满且进度显示为 100%(文件:153,嵌套文件:10027),这可能是由于在计算用于进度条的总扫描文件数时,嵌套文件计数出现错误
- [ ] 提高 GUI 的打开速度
- [ ] 贯穿所有工具,使 CLI 中可用的所有选项同样在 GUI 中可用
- [ ] 校验版本控制功能无法正常工作
- [ ] 搭建校验 API
- [ ] 为仪表板上的“了解更多”按钮编写更多信息
作者:[Jack Hagen](https://hagen.rip)
标签:Apex, ClamAV, IP 地址批量处理, Web 安全测试, 威胁情报, 开发者工具, 机器学习, 网络连接扫描, 逆向工具, 防病毒软件