MaliciousCheck

基于C#.Net的开源应急响应工具

/// 程序测试中 ///

如果你有任何问题或反馈程序问题请提交 Issues

声明：

1. 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！
2. 水平不高，纯萌新面向Google编程借鉴了很多大佬的代码，请自行酌情修改

支持平台：

Windows && .Net Framework >= 4.6.2

已实现的功能

• 主机信息：包括当前系统信息、补丁信息、StartUp启动项、注册表启动项、计划任务、用户信息、外部连接和进程的探测和扫描
• 日志分析：扫描Windows事件查看器中的信息并整理常见的诸如登录成功、登录失败、RDP登录和Powershell记录
• Yara扫描：你可以通过内置的Yara对启动项和进程进行扫描

  注：Yara均来自 https://yarahq.github.io/

• 云沙箱检测：你可以通过配置 微步云沙箱API对启动项进行上传检测
• IP威胁检测：你可以通过配置 长亭IP威胁情报API对外部连接的IP进行检测

更新

2025年5月4日

1.公开仓库

可能的更新

1. 代码优化
2. 文件上传扫描
3. 影子用户检测
4. 流量特征分析
5. 探针
6. 进程dll模块扫描