本帖使用社区开源推广,符合推广要求。我申明并遵循社区要求的以下内容:
- 我的帖子已经打上 开源推广 标签: 是
- 我的开源项目完整开源,无未开源部分: 是
- 我的开源项目已链接认可 LINUX DO 社区: 是
- 我帖子内的项目介绍,AI生成、润色内容部分已截图发出: 是
- 以上选择我承诺是永久有效的,接受社区和佬友监督: 是
以下为项目介绍正文内容,AI生成、润色内容已使用截图方式发出
—基于最近的银狐病毒,vc了一个查找系统隐藏进程的工具
银狐这波感染量挺大,传播链里常见的几种持久化手段——隐藏属性进程、注册表自启、计划任务、服务异常、WMI 订阅、DLL 旁加载、PowerShell profile——靠 Windows 自带工具一个个查很麻烦。索性写了个图形化的扫描器一次性扫完。
^-^ 仓库地址: GitHub - Jyman/gui-scanner: 5 个扫描模块(隐藏进程、注册表启动项、计划任务、服务异常、WMI 持久化) Tokyo Night 深色主题,护眼配色 左侧导航单独扫描或一键全扫 HTML 报告导出到桌面 · GitHub
^-^ 下载地址::
Release v0.1.0 · Jyman/gui-scanner · GitHub
顺便求点star
一、为什么做这个
银狐木马近期变种很多,落地后的持久化手段几乎覆盖了 Windows 上所有常见姿势。如果手工排查,得:
- 打开任务管理器看进程
- 跑
regedit 翻自启动项
- 用
taskschd.msc 查计划任务
- 进
services.msc 看服务
- 用 PowerShell 查 WMI 订阅
- 用 Process Explorer 看 DLL
来回切窗口,结果还散落各处。所以做了这个工具——一次扫描,统一界面,按风险等级排序。
二、十个检测模块
涵盖银狐这类木马最常用的落地点:
序号 |
模块 |
检测内容 |
|---|
1 |
^-^ 隐藏进程 |
带 Hidden / System 文件属性的运行进程 |
2 |
^-^ 注册表启动项 |
HKLM / HKCU 的 Run / RunOnce(含 WOW64) |
3 |
^-^ 计划任务 |
非 Microsoft 路径下的可疑任务 |
4 |
^-^ 服务异常 |
路径在 AppData / Temp / Users 等非标目录的服务 |
5 |
^-^ WMI 持久化 |
__EventFilter / __EventConsumer 订阅 |
6 |
^-^ DLL 注入 |
系统关键进程加载的非信任目录 DLL |
7 |
^-^ 网络连接 |
可疑进程外连 / 高危端口 / ESTABLISHED 状态 |
8 |
^-^ Hosts 文件 |
安全软件 / 微软域名被劫持 |
9 |
^-^ 浏览器扩展 |
Chrome / Edge / Firefox 高权限扩展 |
10 |
^-^ PowerShell Profile |
IEX、Base64、Defender 排除等可疑命令 |
每条结果按风险分三级:
- ^-^ 安全 — 系统正常项
- ^-^ 可疑 — 需要人工二次确认
- ^-^ 危险 — 高度疑似恶意
三、界面与交互
^-^ 导航
- 左侧 — 单个模块按需扫描
- 底部 — 一键全部扫描
- 顶部统计卡片 — 可点击筛选,只看「可疑」或「危险」
^-^ 右键菜单
每条扫描结果右键弹出:
- 复制 名称 / 详情 / 路径
- 打开所在文件夹(自动定位文件)
- 在 VirusTotal 搜索
- 加入 / 移出白名单
^-^ 白名单
- 已确认安全的项加入本地白名单
- 存储在
%LOCALAPPDATA%\yinhu\whitelist.json
- 命中后自动降级为「安全」,详情末尾标
[白名单]
^-^ HTML 报告
一键导出到桌面,独立分享,方便贴到工单 / 复盘文档。