# MPScan

**Repository Path**: any3ite/MPScan

## Basic Information

- **Project Name**: MPScan
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: main
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2026-04-20
- **Last Updated**: 2026-04-20

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# MPScan：微信小程序安全审计一体化解决方案
> MPScan 是一款为安全研究人员与开发者设计的 Windows GUI 一体化工具，专用于对微信小程序进行自动化安全审计。基于对 wxapkg 反编译工具的深度二次开发与功能拓展，本工具实现了从 自动提取 → 反编译 → 敏感信息识别 → 风险可视化 → 报告输出 的完整工作流。


[![GitHub issues](https://img.shields.io/github/issues/xjzhi/MPScan)](https://github.com/xjzhi/MPScan/issues)
[![GitHub stars](https://img.shields.io/github/stars/xjzhi/MPScan)](https://github.com/xjzhi/MPScan/stargazers)
[![GitHub forks](https://img.shields.io/github/forks/xjzhi/MPScan)](https://github.com/xjzhi/MPScan/network)
![图片](https://github.com/user-attachments/assets/24d19ca8-ab33-47e4-a41f-b25b2d3f5453)

---

## ✨ 工具亮点
```
🚀 一键自动化 – 无需复杂配置，启动即用，覆盖监控、解包、扫描、分析完整流程。
🔍 深度内容识别 – 自动提取超过 20 类敏感信息，包括各类云服务密钥、数据库连接串、API Token、内网地址等。
🎨 直观风险呈现 – 采用高/中/低危三级色彩标记，结果清晰可读，支持点击查看上下文代码。
📦 开箱即用 – 纯原生 Windows 应用，无需安装 Python、Node.js 等任何外部依赖。
💼 便捷的操作流 – 提供右键快速菜单（复制、打开、定位）、代码预览及一键报告导出，极大提升分析效率。
``` 

---

## 🛠️ 核心功能
```
1. 实时监控与自动反编译
自动监听微信小程序包目录（%USERPROFILE%\Documents\WeChat Files\...\wxapkg\）。
一旦有新的 .wxapkg 文件产生，立即触发自动反编译并启动安全扫描，实现“发现即审计”。
2. 批量扫描与手动分析
支持手动选择小程序包目录进行批量处理。
适用于专项安全审计、合规检查或对历史小程序的批量排查。
3. 智能敏感信息提取
内置针对微信生态与常见云服务的专用正则表达式与特征规则库。
精准识别超过 20 类高风险敏感信息。
4. 交互式代码审查面板
点击任意扫描结果条目，中央面板将实时展示该敏感信息所在的源代码位置。
默认显示命中代码行的前后各20行上下文，辅助人工研判风险场景与误报排除。
5. 便捷的右键操作菜单
在结果列表中右键点击任意条目，可快速执行以下操作：
  复制内容：复制选中的敏感信息文本。
  用记事本打开：直接打开包含该信息的源文件。
  在资源管理器中定位：快速跳转至源文件所在文件夹。
6. 一键导出报告
支持将完整扫描结果导出为 CSV 格式报告。
文件编码已兼容 Microsoft Excel，确保中文内容无乱码，便于存档、分享或进一步数据处理。
```

---

## 📁 覆盖的敏感信息类型

| 类别 | 识别示例 |
|------|----------|
| 微信生态 | AppSecret、支付密钥（mch_key）、商户号（mch_id） |
| 腾讯云 | SecretId、SecretKey、COS 存储桶配置、短信服务密钥 |
| 阿里云 | AccessKey ID、AccessKey Secret、OSS 配置 |
| AWS | AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY |
| 其他云服务 | 七牛云 AK/SK、华为云 AK/SK、百度云 AK/SK |
| 数据库 | MongoDB 连接 URL、MySQL 连接字符串、Redis 连接地址与密码 |
| 通用密钥令牌 | API Key、JWT Token、Password、Bearer Token、私钥文件路径 |
| 网络与内网信息 | 内网 IP 地址（10.x，172.16.x，192.168.x）、硬编码的未授权访问端点 |

---

## ⚙️ 运行环境与使用

```
操作系统：Windows 10 / 11 （64位）
环境要求：无需安装任何依赖（如Python、Node.js、Java等）。下载可执行文件，解压后双击即可运行。
```

---

## 🚀 快速开始
```
下载发布版本：从 Releases 页面下载最新的 MPScan.zip。
解压运行：解压到任意目录，双击运行 MPScan.exe。
开始扫描：
自动监控模式：启动后，工具将自动开始监控。当微信有新小程序运行时，会自动扫描。
手动扫描模式：点击“选择目录”，手动指定包含 .wxapkg 文件的文件夹进行批量扫描。
查看与导出结果：在界面中查看分级风险结果，点击条目查看代码上下文，可通过右键菜单或“导出”按钮生成报告。
```

![图片](https://github.com/user-attachments/assets/1a835dd1-445c-475c-8cdb-e81ac4e12629)

[观看演示视频](https://raw.githubusercontent.com/xjzhi/MPScan/refs/heads/main/MPScan.mp4)
  
---

## 📧 联系方式

如有任何问题或建议，请通过以下方式联系：

- **GitHub Issues**: [提交 Issue](https://github.com/xjzhi/MPScan/issues)

---

## ⭐ Star History

![Star History Chart](https://api.star-history.com/svg?repos=xjzhi/MPScan&type=date&v=1)

---

## 🙏 致谢

感谢所有为本项目做出贡献的开发者！

---

## ⚠️ 免责声明

本工具仅供安全研究和授权测试使用。使用本工具进行未经授权的测试是违法的。使用者需自行承担使用本工具的一切后果，作者不承担任何法律责任。