返回

文章详情

展示 HN:AnalystAIPack – 118 个可运行的恶意软件分析和逆向工程代理技能

Hacker News2026年7月1日 17:27

请求一个通用的 AI 代理来分析一个可疑的可执行文件,你会得到一些自信的废话。它会愉快地告诉你“检查该文件是否有恶意内容”,建议一个不存在的插件,或者跳过实际重要的步骤。模型对恶意软件分析知道很多,但缺乏分析师的工作知识:在内存映像上运行哪个 Volatility 3 插件,如何到达打包器的原始入口点,如何将恢复的 C2 配置转化为 Sigma 规则,以及同样重要的是,何时不相信一个结果。这个空缺正是我构建 AnalystAIPack 的目的。它是一个开放的 Apache-2.0 库,包含 118 个用于恶意软件分析、逆向工程和威胁狩猎的代理技能,现在已在 GitHub 上公开。 AnalystAIPack 是一个可以直接加载的技能库,采用 agentskills.io SKILL.md 格式,因此可以直接融入 GitHub Copilot、Claude Code、Cursor、Codex CLI、Gemini CLI 或任何兼容的代理中。它故意采用深度优先的方式:与其说是一个广泛的目录,触及所有内容的表面,不如说它覆盖了四个紧密相关的子域,这些子域映射到分析师的实际工作方式。该库分为四个紧密相关的子域,共有 118 项策划的技能,围绕真实的分析师工作流程进行了安排。 子域 所覆盖的内容 实验室基础 安全处理、实验室设置、分流、哈希、文件 ID、IOC 格式、报告 恶意软件分析 静态、动态、行为和内存分析;文档和脚本恶意软件;家族 逆向工程 反汇编和反编译、解包、去混淆、反分析防御、特定语言的逆向工程 威胁狩猎 假设驱动的狩猎、端点、网络和身份遥测、检测工程 有三个方面将其与一整套提示区分开。每项技能都是可运行的。所有 118 项技能都附带经过测试的 scripts/analyst.py 脚本,执行分析,而不仅仅是对其的描述。它们依赖于 Python 标准库,在缺少可选依赖项时能够优雅降级,并且都受到整个代码库烟雾测试工具和 CI 门的保护。该工具确实有效,而不仅仅是读起来不错。结构安全。脚本执行静态、只读分析,绝不会执行样本。 IOCs 以去毒化形式输出( hxxp:// , 1[.]2[.]3[.]4 ),每个样本处理技能都带有明确的安全性和处理部分,假设在一个隔离的实验室中。该库不包含任何实时恶意软件。 从防御者的框架视角。技能映射到 MITRE ATT&CK 、 MITRE D3FEND ,并且对于狩猎,映射到 MITRE CAR ,选择它们是因为它们比合规检查清单更适合逆向工程、恶意软件分析和威胁狩猎。该映射使代理能够报告覆盖范围并将发现结果纳入检测工程中。每项技能遵循相同的合同,包括何时使用(带有明确的不要使用),工作流程,验证和陷阱,因此代理始终知道某一技术的边界,而不是盲目应用它。每项技能将一份有观点的 SKILL.md 程序与一个经过测试的只读 analyst.py 结合在一起,后者打印结构化的去毒化 JSON。 示例:从样本到检测 深度优先库的重点在于技能是相互连接的。每一项都是一步,串联在一起就覆盖了完整的分析师循环。以下是逐步处理一个可疑的可执行文件的流程: 八项技能,链式连接:从一个未知的 suspicious.exe 到一个持久检测,每个脚本的 JSON 传递给下一个。 # 阶段 技能 1 分流未知文件 triaging-an-unknown-sample 2 静态 PE 检查 performing-static-pe-analysis 3 通过熵检测打包 measuring-section-entropy-to-detect-packing 4 手动解包到 OEP manually-unpacking-a-packed-binary 5 恢复 C2 配置 extracting-cobalt-strike-beacon-config 6 去毒化和包装 IOC defanging-and-sharing-iocs 7 在流量中狩猎 IOC hunting-cobalt-strike-traffic 8 编写持久的检测 writing-sigma-detection-rules 从 CLI 驱动,这些机械步骤只需: # 1. 分流,然后 5. 恢复信标配置(只读,绝不执行样本) python tools/analyst-pack.py run triaging-an-unknown-sample -- triage suspicious.exe python tools/analyst-pack.py run extracting-cobalt-strike-beacon-config -- parse beacon.bin # 7. 在代理/Zeek 日志中狩猎恢复的指标, 8. 输出 Sigma 规则 python tools/analyst-pack.py run hunting-cobalt-strike-traffic -- hunt http.csv 每个脚本都会打印结构化的去毒化 JSON,因此一个步骤的输出直接馈送到下一个步骤,或报告,或 SIEM。调查流程像真实调查那样顺畅:分流、静态分析、解包和逆向、提取配置和 IOC、去毒化、通过遥测狩猎,然后编写检测。 如何使用 它 整个库通过一个单独的前门进入,即 analyst-pack CLI: python tools/analyst-pack.py list --subdomain threat-hunting # 浏览技能 python tools/analyst-pack.py search kerberos # 完整文本搜索 python tools/analyst-pack.py show hunting-lolbin-abuse-on-wind

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡