binsnitch.py：守护你的系统文件安全的利器！

binsnitch.py：守护你的系统文件安全的利器！

项目简介

binsnitch.py 是一个轻量级的Python脚本，它能监控指定目录中的文件变化，通过SHA256哈希值来检测文件是否被静默修改或新添加。这个工具特别适用于检测潜在的恶意软件活动，比如文件被替换或篡改。只需简单的命令行选项，你可以选择跟踪可执行文件或是所有文件，以满足不同场景下的需求。

技术分析

binsnitch.py 使用Python 3作为基础，并且依赖于系统自带的标准库。它会对指定目录进行递归扫描，对每个文件计算其SHA256哈希值并保存在数据库中。当再次扫描时，如果文件的哈希值与之前记录的不同，binsnitch.py 将在日志文件中记录警报。此外，工具还支持只处理一次（单次扫描）和仅追踪新文件的选项。

应用场景

• 安全监控：对于个人或企业来说，binsnitch.py 可以作为实时监控系统文件完整性的一个有效手段，尤其是在服务器和开发环境中。
• 恶意软件分析：在恶意软件研究过程中，它可以用来检测感染后的系统文件变化，识别恶意程序可能的活动轨迹。
• 系统维护：在进行软件更新或安装新应用程序后，可以使用 binsnitch.py 检查是否存在未预期的文件变动。

项目特点

• 简单易用：无需额外的库或工具，仅需Python 3即可运行。
• 灵活配置：可以选择追踪所有文件或仅追踪可执行文件，也可以设置一次性扫描或者报警模式。
• 低侵入性：不依赖于操作系统特定功能，跨平台兼容。
• 高效监测：通过SHA256哈希快速比较文件状态，准确发现变化。
• 实用日志：提供详细的修改和新增文件日志，方便后续排查。

例如，要监控系统的所有可执行文件并开启详细日志，只需输入：

python3.5 binsnitch.py -v /

或监控当前目录下所有文件：

python3.5 binsnitch.py -v -a .

通过 binsnitch.py，你可以构建起一套简单的文件系统变更预警系统，无论是在预防还是事后调查上，都能发挥重要作用。

现在就加入到binsnitch.py的社区，一起探索更多可能吧！

联系我们

如有问题或建议，欢迎在项目的 Issues 栏目中提交反馈。联系方式：research@nviso.be。

binsnitch.py由Daan Raman（@daanraman）开发和维护。

开始使用 binsnitch.py