文章总结： Argus是一款专为红蓝对抗、应急响应和威胁狩猎设计的跨平台安全工具，支持Windows和Linux系统，采用零依赖Native引擎，具备深度内存对抗技术、AI智能分析引擎、深度取证与历史溯源功能，可生成可视化攻击图谱，并能与威胁情报联动，提供更隐蔽、更强大的威胁检测能力。 综合评分： 85 文章分类： 应急响应,威胁狩猎,安全工具,AI安全,红队

【蓝队】新一代自动化威胁狩猎与应急响应平台

25smoking

贝雷帽SEC

2025年12月17日 15:58 广东

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

工具介绍

Argus 取名自希腊神话中的”百眼巨人” (Argus Panoptes)，寓意以永不闭合的眼睛时刻守护系统安全。这是一款专为红蓝对抗、应急响应、威胁狩猎设计的现代化跨平台安全工具，致力于提供更隐蔽、更强大、更智能的威胁检测能力。

Argus 完美支持 Windows 和 Linux 双系统，尤其针对 Windows 平台进行了深度 Native API 级重构，摒弃了对 cmd.exe、powershell.exe 等外部命令的依赖。即使在系统工具被 Rootkit 篡改的情况下，Argus 仍能通过底层 API 直接获取真实系统状态，确保取证结果的完整性和可信度。

🎯 核心特性

1. 零依赖 Native 引擎

Windows 平台

• 全面使用 Native API：CreateToolhelp32Snapshot、QueryFullProcessImageName、dbghelp.dll、wintrust.dll

• 无需 cmd.exe/powershell.exe 调用，避免命令行日志泄露

• 绕过被篡改的用户态工具（tasklist、netstat 等）

• 进程完整性级别检查，安全扫描系统进程

• Linux 平台

• 纯 Go 实现 /proc 文件系统解析

• 无需 Python、Shell 脚本依赖

• 直接读取内核数据结构

• 单文件部署

• 静态编译，开箱即用

• 无运行时依赖，适合离线/内网环境

2. 深度内存对抗技术

RWX 内存段扫描

• 智能识别进程中的可执行内存区域（Read-Write-Execute）

• 精准定位 Shellcode、CobaltStrike Beacon 等无文件攻击载荷

• 堆栈回溯分析 (Stack Walking)

• 使用 dbghelp.dll 遍历线程调用栈

• 检测无模块支持的代码执行（Unbacked Code）

• 发现进程注入、反射式 DLL 加载

• 内存 YARA 扫描

• 内置 YARA 引擎，直接在进程内存中匹配恶意特征

• 支持自定义规则集扩展

• ~~MiniDump 快照保全高危进程现场~~

  (未实现，待完成)

3. AI 智能分析引擎

集成大语言模型

• 支持 DeepSeek、Gemini AI 接口

• 自动上传扫描报告，生成威胁分析和处置建议

• 智能数据过滤，只发送 Critical/High/Medium 级别告警

• 配置灵活

• YAML 配置文件 (config/ai.yaml) 持久化设置

• 命令行参数临时覆盖

• 自动生成 argus_ai_input.json 供调试

4. 深度取证与历史溯源

Windows 取证引擎

• Prefetch 解析

  ：还原程序历史执行记录（即使文件已删除）

• ShimCache 分析

  ：提取应用程序兼容性缓存数据

• LNK 快捷方式

  ：解析最近访问文件痕迹

• RecentDocs

  ：注册表最近文档记录

• Linux 审计日志

• Auth 日志分析

• Bash/Zsh 历史记录

• systemd journal 解析

5. 威胁情报联动

在线情报查询 * VirusTotal 文件 Hash 检测 * AbuseIPDB IP 信誉验证 * 网络连接实时威胁评估

6. 可视化攻击图谱

DOT 格式导出 * 进程关系树（Parent-Child） * 网络连接拓扑（Process → RemoteIP） * 支持 Graphviz 渲染

工具使用

1. 编译

# 克隆仓库git clone https://github.com/25smoking/Argus.gitcd Argus
# 编译 Windows 版本GOOS=windows GOARCH=amd64 go build -o argus.exe ./cmd/argus
# 编译 Linux 版本GOOS=linux GOARCH=amd64 go build -o argus ./cmd/argus

2. 基础扫描

# Windows (需要管理员权限).\argus.exe# Linux (需要 root 权限)sudo ./argus

3. AI 分析模式

方法一：配置文件（推荐）

编辑 config/ai.yaml：

ai:  enabled: true  model: "deepseek"  # 或 "gemini"  api_key: "sk-xxxxxxxxxxxxxxxx"  api_base: "https://api.deepseek.com"  language: "zh-CN"

方法二：命令行参数（临时）

.\argus.exe --ai deepseek --key sk-xxxxxxxx

4. 生成攻击图谱

.\argus.exe graph# 生成 attack_graph.dot，可用 Graphviz 或 http://www.webgraphviz.com/ 查看

#

5. 输出报告

扫描结束后自动生成：

• argus_report_YYYYMMDD_HHMMSS.html

• 交互式可视化报告

• argus_report_YYYYMMDD_HHMMSS.json

• 机器可读格式

• argus_ai_input.json

• AI 调试数据（仅 AI 模式）

• argus_ai_report.txt

• AI 分析报告（仅 AI 模式）

下载链接

https://github.com/25smoking/Argus

End

“点赞、在看与分享都是莫大的支持”

工具精选

【红队】一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具 【红队】集成一站式企业信息资产收集、网络资产测绘的工具。 【红队】内网渗透工具-Viper最新版本 【红队】一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具 【红队】afrog v2.7.2 新版本发布 【红队】横向移动命令执行工具—WMIHACKER 【红队】Aboutveinmind-tools 容器安全工具集 【红队】一个集成了非常多渗透测试工具 【红队】一款内网综合扫描工具，一键自动化、全方位漏扫。 【红队】红队快速打点工具-POC-bomber v3.0.0 版本 【红队】Medusa—红队武器库平台 【红队】一款C2设施前置流量控制工具 【红队】集成 vscan、nuclei、ksubdomain、subfinder等工具的打点神器–scan4all 【红队】网络安全单兵作战工具-YAKIT 【红队】最新 Burpsuite Professional 2023.6.1

End

“点赞、在看与分享都是莫大的支持”

查看原文：《【蓝队】新一代自动化威胁狩猎与应急响应平台》