基于最近的银狐病毒,开发了一个查找系统隐藏进程的工具

Youzi 0x 2026-07-09 00:11 1

本帖使用社区开源推广,符合推广要求。我申明并遵循社区要求的以下内容:



  • 我的帖子已经打上 开源推广 标签:

  • 我的开源项目完整开源,无未开源部分:

  • 我的开源项目已链接认可 LINUX DO 社区:

  • 我帖子内的项目介绍,AI生成、润色内容部分已截图发出:

  • 以上选择我承诺是永久有效的,接受社区和佬友监督:


以下为项目介绍正文内容,AI生成、润色内容已使用截图方式发出


—基于最近的银狐病毒,vc了一个查找系统隐藏进程的工具



银狐这波感染量挺大,传播链里常见的几种持久化手段——隐藏属性进程、注册表自启、计划任务、服务异常、WMI 订阅、DLL 旁加载、PowerShell profile——靠 Windows 自带工具一个个查很麻烦。索性写了个图形化的扫描器一次性扫完。



^-^ 仓库地址: GitHub - Jyman/gui-scanner: 5 个扫描模块(隐藏进程、注册表启动项、计划任务、服务异常、WMI 持久化) Tokyo Night 深色主题,护眼配色 左侧导航单独扫描或一键全扫 HTML 报告导出到桌面 · GitHub

^-^ 下载地址::

Release v0.1.0 · Jyman/gui-scanner · GitHub


顺便求点star


一、为什么做这个


银狐木马近期变种很多,落地后的持久化手段几乎覆盖了 Windows 上所有常见姿势。如果手工排查,得:



  • 打开任务管理器看进程

  • regedit 翻自启动项

  • taskschd.msc 查计划任务

  • services.msc 看服务

  • 用 PowerShell 查 WMI 订阅

  • 用 Process Explorer 看 DLL


来回切窗口,结果还散落各处。所以做了这个工具——一次扫描,统一界面,按风险等级排序




二、十个检测模块


涵盖银狐这类木马最常用的落地点:































































序号 模块 检测内容
1 ^-^ 隐藏进程 带 Hidden / System 文件属性的运行进程
2 ^-^ 注册表启动项 HKLM / HKCU 的 Run / RunOnce(含 WOW64)
3 ^-^ 计划任务 非 Microsoft 路径下的可疑任务
4 ^-^ 服务异常 路径在 AppData / Temp / Users 等非标目录的服务
5 ^-^ WMI 持久化 __EventFilter / __EventConsumer 订阅
6 ^-^ DLL 注入 系统关键进程加载的非信任目录 DLL
7 ^-^ 网络连接 可疑进程外连 / 高危端口 / ESTABLISHED 状态
8 ^-^ Hosts 文件 安全软件 / 微软域名被劫持
9 ^-^ 浏览器扩展 Chrome / Edge / Firefox 高权限扩展
10 ^-^ PowerShell Profile IEX、Base64、Defender 排除等可疑命令

每条结果按风险分三级



  • ^-^ 安全 — 系统正常项

  • ^-^ 可疑 — 需要人工二次确认

  • ^-^ 危险 — 高度疑似恶意




三、界面与交互


^-^ 导航



  • 左侧 — 单个模块按需扫描

  • 底部 — 一键全部扫描

  • 顶部统计卡片 — 可点击筛选,只看「可疑」或「危险」


^-^ 右键菜单


每条扫描结果右键弹出:



  • 复制 名称 / 详情 / 路径

  • 打开所在文件夹(自动定位文件)

  • 在 VirusTotal 搜索

  • 加入 / 移出白名单


^-^ 白名单



  • 已确认安全的项加入本地白名单

  • 存储在 %LOCALAPPDATA%\yinhu\whitelist.json

  • 命中后自动降级为「安全」,详情末尾标 [白名单]


^-^ HTML 报告


一键导出到桌面,独立分享,方便贴到工单 / 复盘文档。



最新回复 (3)
  • 42 07-09 00:13
    2

    releases掉了ww




    来看看效果怎么样w

  • xingyunzhou6 07-09 01:23
    3

    在哪下载?


  • fablia 07-09 01:27
    4

    佬,releases是空的喔 ^-^

    有了有了

* 帖子来源Linux.do
返回