前言
在网络安全威胁日益复杂的今天，传统的安全检查工具已经难以满足企业级安全防护的需求。隐卫 Pro Security Scanner v1.0 作为 LinuxGun 的全面升级版本，不仅继承了原版的核心功能，更在威胁检测、报告生成、批量管理等方面实现了质的飞跃

核心升级亮点
🚀 代码规模与架构优化
增强版在保持原有功能的基础上，实现了：

模块化架构重构：更清晰的功能分层和模块划分
代码质量提升：增强的错误处理机制和日志系统
性能优化：更高效的检测算法和资源利用
🔍 高级威胁检测系统

1. 敏感文件访问监控
   增强版新增了对关键系统文件的实时访问监控：

监控的敏感文件包括：

• /etc/passwd # 用户账户信息
• /etc/shadow # 密码哈希文件
• /etc/hosts # 主机名解析
• ~/.ssh/id_rsa # SSH私钥文件

2. 多层次后门检测
   内核模块后门检测

检测非标准内核模块
识别最近修改的可疑 .ko 文件
分析内核模块加载历史
动态库劫持检测

监控 LD_PRELOAD 环境变量
检查 /etc/ld.so.preload 文件
扫描系统库目录中的可疑库文件
进程注入检测

分析高CPU占用进程的内存映射
检测异常的进程行为模式
识别潜在的代码注入攻击
隐藏文件深度扫描

检查根目录和常见目录中大于1MB的隐藏文件
识别系统中的异常隐藏目录
分析文件属性和时间戳异常
📊 现代化HTML报告系统
报告功能对比
功能特性 原版 增强版
报告格式 纯文本 现代化HTML
交互性 无 搜索、筛选、标签页
数据可视化 无 图表、统计面板
响应式设计 无 支持多设备访问
风险分级 基础 高/中/低危精确分类
HTML报告核心特性

1. 响应式现代界面
2. 智能搜索功能

全文搜索支持
实时结果高亮
自动展开相关折叠区域
智能标签页切换

3. 多维度数据展示

总览面板：安全评估概览、风险统计
系统信息：详细的系统配置信息
安全检查：传统安全检查结果
威胁检测：高级威胁检测结果
日志分析：多类型日志的结构化展示
🌐 远程批量检测能力
批量管理功能
增强版引入了企业级的批量管理能力：

1. 远程扫描配置

创建远程扫描配置

./YinGuard.sh --create-remote-config

生成主机列表模板

./YinGuard.sh --create-hosts-template

执行批量远程扫描

./YinGuard.sh --remote-scan

2. 配置文件管理

remote_config.conf：远程连接配置
hosts_template.txt：目标主机列表模板
支持SSH密钥和密码认证
自动化结果收集和汇总

3. 文件传输系统

高级文件传输功能

./YinGuard.sh --send [file_path]

支持特性：

• 安全令牌认证
• 自动文件发现
• 传输状态监控
• 错误重试机制
  ☸️ Kubernetes安全检测增强
  K8s安全检测对比
  检测项目 原版 增强版
  集群信息收集 基础 深度分析
  安全配置检查 有限 全面基线检查
  敏感信息扫描 无 智能文件扫描
  凭据安全检查 基础 多维度分析
  漏洞检测 无 集成fscan扫描
  新增K8s功能

1. 增强的集群信息收集

深度集群分析

kubectl cluster-info dump
kubectl get nodes -o wide
kubectl get pods --all-namespaces
kubectl get services --all-namespaces

2. 敏感文件智能扫描

自动识别K8s配置文件
扫描指定后缀的敏感文件
自动备份发现的敏感文件
生成详细的文件清单

3. 安全基线检查

Pod安全策略验证
RBAC权限检查
网络策略分析
存储安全配置
🛡️ 系统安全功能增强

1. 文件完整性检查

新增功能：系统文件完整性验证

• 关键系统文件哈希校验
• 文件权限异常检测
• 文件属性变更监控
• 系统文件时间戳分析

2. 风险漏洞评估

增强的漏洞检测能力

• CVE漏洞数据库匹配
• 软件版本安全评估
• 配置安全风险分析
• 权限提升路径检测

3. 环境变量安全检查

全面的环境变量安全分析

• 敏感信息泄露检测
• 路径劫持风险评估
• 权限提升向量分析
• 恶意环境变量识别

4. 网络共享安全检查

网络共享安全评估

• NFS共享配置检查
• SMB/CIFS安全分析
• 网络文件系统权限审计
• 共享资源访问控制验证
  🔧 恶意软件检测升级
  检测能力对比
  检测类型 原版 增强版
  病毒特征库 基础规则 扩展特征库
  行为分析 有限 深度行为模式
  内存扫描 基础 高级内存分析
  网络行为 无 网络流量分析
  文件分析 简单 多维度文件分析
  新增检测技术

1. 高级行为分析

进程行为模式识别
网络通信异常检测
文件操作行为分析
系统调用序列分析

2. 内存取证增强

内存中恶意代码检测
进程注入识别
内存数据结构分析
隐藏进程发现
📈 系统性能评估
性能监控维度

全面的性能评估指标

1. CPU性能分析

   • 使用率统计
   • 负载均衡分析
   • 进程CPU消耗排序

2. 内存使用评估

   • 内存使用率
   • 内存泄漏检测
   • 缓存效率分析

3. 磁盘I/O监控

   • 磁盘使用率
   • I/O性能分析
   • 磁盘健康状态

4. 网络流量分析

   • 网络带宽使用
   • 连接状态统计
   • 异常流量检测
     🎯 用户体验优化
5. 交互式界面改进

增强的命令行交互

• 彩色输出优化
• 进度条显示
• 实时状态更新
• 错误信息详细化

2. 配置管理简化

简化的配置管理

• 自动配置生成
• 配置模板提供
• 参数验证机制
• 配置备份恢复

3. 结果输出优化

多格式输出支持

• HTML报告（新增）
• JSON格式输出
• CSV数据导出
• PDF报告生成（规划中）
  技术架构升级
  模块化设计增强
  原版架构
  原版模块结构（15个主要模块）
  ├── 系统信息排查
  ├── 网络连接排查
  ├── 进程排查
  ├── 文件排查
  ├── 后门排查
  └── ...
  增强版架构
  增强版模块结构（20+个模块）
  ├── 核心检测模块
  │ ├── 系统信息收集增强
  │ ├── 高级威胁检测
  │ ├── 文件完整性检查
  │ └── 环境变量安全检查
  ├── 扩展功能模块
  │ ├── 远程批量检测
  │ ├── K8s安全检测
  │ ├── 性能评估分析
  │ └── 报告生成系统
  └── 管理工具模块
  ├── 配置管理
  ├── 文件传输
  └── 日志分析
  部署与使用指南
  快速开始

1. 基础部署

1. 下载增强版脚本

git clone https://github.com/taielab/YinGuard

2. 添加执行权限

chmod +x YinGuard.sh

3. 执行全量检查

./YinGuard.sh --all

4. 生成HTML报告

./YinGuard.sh --html-report

2. 高级功能使用

远程批量检测

./YinGuard.sh --create-remote-config
./YinGuard.sh --remote-scan

K8s安全检测

./YinGuard.sh --k8s-baseline

文件传输

./YinGuard.sh --send 192.168.1.100 8080 token123