gl0bal01/malware-analysis-claude-skills
GitHub: gl0bal01/malware-analysis-claude-skills
基于 Claude AI 的专业恶意软件分析技能工具包,覆盖从样本分类到检测规则生成的完整分析流程。
Stars: 14 | Forks: 1
# 恶意软件分析技能 - 完整工具包
## 📦 包含内容
**1 个编排器 (Orchestrator) + 5 个专业技能**,覆盖完整的恶意软件分析生命周期:
- **SKILL.md (根目录)** - **编排器** — 单一入口点,负责路由到正确的技能,管理跨阶段的分析状态,并支持多样本批量工作流。只需描述您的需求。
1. **malware-triage** - 初步评估和优先级排序
2. **malware-dynamic-analysis** - 安全执行和行为监控
3. **specialized-file-analyzer** - 非 PE 文件分析(.NET, Office, PDF, 脚本)
4. **detection-engineer** - 检测规则和 IOC 管理
5. **malware-report-writer** - 专业报告创建
## 🎯 快速技能选择器
**只需描述您的需求** — 编排器 (`SKILL.md`) 会自动路由。下方的决策树供参考,如果您想直接调用特定的子技能。
```
START: What do you need to do?
├─ "I need to quickly assess a sample" → Use: malware-triage
│
├─ "I need to execute malware safely and monitor it" → Use: malware-dynamic-analysis
│
├─ "I have a document/script/non-executable" → Use: specialized-file-analyzer
│ ├─ .NET/C# assembly (.exe with .NET)
│ ├─ Office document with macros (.docm, .xlsm)
│ ├─ PDF file
│ ├─ PowerShell/VBS/JavaScript
│ ├─ Archive (.zip, .rar, .7z)
│ ├─ Linux binary (ELF)
│ └─ Shortcut file (.lnk)
│
├─ "I need to create detection rules or defang IOCs" → Use: detection-engineer
│ ├─ YARA rules → Use: malware-report-writer
│ ├─ Sigma rules (SIEM) → Use: detection-engineer
│ ├─ Suricata rules (IDS) → Use: detection-engineer
│ └─ Defang IOCs → Use: detection-engineer
│
└─ "I need to write a malware analysis report" → Use: malware-report-writer
```
## 📊 技能对比矩阵
| 技能名称 | 何时使用 | 主要输出 |
|------------|-------------|----------------|
| **malware-triage** | 首次查看未知样本 | 分类、优先级、初步 IOC |
| **malware-dynamic-analysis** | 执行并监控行为 | 行为 IOC、进程树、网络流量 |
| **specialized-file-analyzer** | 非 PE 文件(文档、脚本等) | 去混淆代码、嵌入式载荷、IOC |
| **detection-engineer** | 创建检测规则、处理 IOC | Sigma/Suricata 规则、搜寻查询 |
| **malware-report-writer** | 专业地记录发现结果 | 完整的技术报告、YARA 规则 |
## 🚀 快速入门
### 安装(2 分钟)
1. **上传技能到 Claude**
- 打开 Claude (claude.ai) 或 Claude Code
- 上传根目录 `SKILL.md`(即编排器)以及所有 5 个子技能文件夹
- 技能将自动安装
2. **验证安装**
询问 Claude:“What skills do you have?”
应列出:malware-analysis(编排器)加上 5 个子技能
3. **开始分析**
“我有一个可疑的 .exe 文件,帮我分析一下”
“我有 5 个样本需要分类和确定优先级”
“分析这个带有宏的 Office 文档”
编排器会自动路由到正确的技能。
## 🔌 MCP Server 集成(可选)
使用 MCP 服务器增强您的工作流,自动化手动步骤。这些是可选的 —— 每个技能没有它们也能正常工作。
| MCP Server | 自动化内容 | API Key |
|-----------|-------------------|---------|
| **VirusTotal** | Hash/URL/域名信誉查询 | 在 [virustotal.com](https://www.virustotal.com/) 免费获取 |
| **Threat.Zone** | 自动化沙箱执行 | [threat.zone](https://app.threat.zone/) |
| **Threat Intel** | abuse.ch, AbuseIPDB, GreyNoise, AlienVault OTX | 按来源 |
| **MISP** | 团队范围的 IOC 共享 | 自托管 |
| **Shodan** | C2 基础设施侦察 | 在 [shodan.io](https://www.shodan.io/) 免费获取 |
| **Volatility** | 通过自然语言进行内存取证 | 本地安装 |
**推荐的起始配置:** VirusTotal + Threat Intel (abuse.ch)。有关完整的设置说明,请参阅 [`references/mcp_integrations.md`](references/mcp_integrations.md)。
## 🔐 配合 REMnux/FlareVM 使用(离线分析)
### 离线挑战
**问题:** 恶意软件分析虚拟机应当隔离且无互联网连接,但 Claude Code 需要互联网。
**解决方案:** 在您的宿主机上运行 Claude Code,分析从隔离虚拟机导出的证据。
### 网络架构
```
┌─────────────────────────────────────────────────────┐
│ HOST MACHINE (Internet-connected) │
│ • Claude Code running here │
│ • Skills loaded and ready │
│ • Analyzes exported evidence │
│ • Creates reports and detection rules │
└──────────────────┬──────────────────────────────────┘
│
│ Evidence Transfer:
│ • Shared folder (read-only)
│ • USB drive
│ • Isolated network file share
│
┌──────────────────▼──────────────────────────────────┐
│ ANALYSIS VM (Isolated - NO Internet) │
│ REMnux / FlareVM │
│ • Execute malware here │
│ • Run monitoring tools │
│ • Capture evidence │
│ • Export results only │
└─────────────────────────────────────────────────────┘
```
### 推荐的目录结构
在宿主机上设置:
```
/malware-analysis/
├── samples/ # Store original samples (DO NOT share with VM)
├── evidence/ # Evidence exported FROM analysis VM
│ ├── strings/ # strings output
│ ├── procmon/ # Process Monitor logs (CSV)
│ ├── wireshark/ # Network captures (text exports)
│ ├── sysmon/ # Sysmon event logs (JSON/CSV)
│ ├── memory/ # Memory dump analysis results
│ └── screenshots/ # Behavior screenshots
├── analysis/ # Claude Code analysis workspace
│ ├── notes.md
│ └── findings.md
├── detections/ # Detection rules created by Claude Code
│ ├── yara/
│ ├── sigma/
│ └── suricata/
└── reports/ # Final deliverables
└── malware_report.md
```
### 完整工作流
#### 阶段 1:设置(一次性)
**在分析虚拟机上 (REMnux/FlareVM):**
```
# Configure shared folder or USB mount point
mkdir /mnt/evidence_export
# Make it write-only if possible
```
**在宿主机上:**
```
# Create analysis structure
mkdir -p /malware-analysis/{evidence,analysis,detections,reports}
cd /malware-analysis
```
#### 阶段 2:预分析(宿主机上的 Claude Code)
```
# Use malware-triage skill
"Help me prepare for analyzing a suspected ransomware sample"
"What Procmon filters should I configure for ransomware?"
"What Wireshark display filters should I use for C2 traffic?"
"What Sysmon events should I focus on for persistence?"
```
**Claude Code 将指导您完成:**
- 工具配置命令
- 过滤器设置
- 监控清单
#### 阶段 3:执行(在分析虚拟机上手动执行)
**在您的分析虚拟机终端中:**
```
# 1. Take snapshot
virsh snapshot-create malware-analysis-vm
# 2. Start monitoring tools
# - Procmon (with filters from Claude)
# - Wireshark
# - Process Hacker
# - Regshot (1st shot)
# 3. Execute malware
./malware.exe
# 4. Monitor for 15+ minutes
# 5. Stop all captures
# 6. Export evidence to shared folder
cp procmon_filtered.csv /mnt/evidence_export/
cp wireshark_http.txt /mnt/evidence_export/
wevtutil epl Microsoft-Windows-Sysmon/Operational /mnt/evidence_export/sysmon.evtx
# Convert to CSV or JSON for easier analysis
# 7. Take screenshots of any unusual behavior
# 8. Revert to snapshot
virsh snapshot-revert malware-analysis-vm
```
#### 阶段 4:分析(宿主机上的 Claude Code)
**现在使用 Claude Code 配合您的技能:**
**4a. 证据分类:**
```
cd /malware-analysis/evidence
# In Claude Code:
"Triage this sample based on the evidence I've collected"
Read procmon/malware_activity.csv
Read wireshark/http_traffic.txt
Read sysmon/events.json
"What type of malware is this?"
"What are the key IOCs?"
"What persistence mechanisms were used?"
```
**4b. 深度分析:**
```
# Use specialized-file-analyzer if needed
"Analyze this PowerShell script extracted from memory"
Read evidence/memory/decoded_script.ps1
# Use malware-dynamic-analysis skill
"Analyze this Procmon output for ransomware encryption behavior"
"What C2 infrastructure was contacted based on this network capture?"
```
**4c. 创建检测:**
```
# Use detection-engineer skill
"Create Sigma rules for this malware based on the Sysmon events"
Read evidence/sysmon/events.csv
"Create a Suricata rule for this C2 traffic"
Read evidence/wireshark/c2_communication.txt
"Defang all these IOCs for my report"
# Claude will create rules in detections/ folder
```
**4d. 撰写报告:**
```
# Use malware-report-writer skill
"Create a complete malware analysis report based on my findings"
"Include these Procmon behaviors: [paste key findings]"
"Network indicators: [paste from Wireshark]"
"Persistence mechanisms: [paste from Sysmon]"
# Claude will generate the full report in reports/
```
### Claude Code 能做和不能做的事
#### ✅ Claude Code 将协助:
**分析工具输出:**
- 读取并解释 Procmon CSV 导出文件
- 分析 Wireshark 文本导出(HTTP 对象、DNS 查询)
- 解析 Sysmon 事件日志(CSV/JSON)
- 解释 strings 输出
- 分析来自工具的 PE 头信息
- 审查内存转储分析结果
**工具设置指导:**
- Procmon 过滤器配置
- Wireshark 显示过滤器
- Sysmon 配置建议
- INetSim/FakeNet 设置
- 虚拟机隔离验证
**检测创建:**
- 根据您的发现编写 YARA 规则
- 从 Sysmon 事件编写 Sigma 规则
- 从网络捕获编写 Suricata 规则
- 针对 EDR/SIEM 的搜寻查询
- IOC 脱敏和格式化
**报告撰写:**
- 完整的恶意软件分析报告
- 执行摘要
- 技术文档
- 带上下文的 IOC 列表
- 补救建议
#### ❌ Claude Code 不会:
**执行恶意软件:**
- 不会运行 `./malware.exe`
- 不会帮助改进恶意软件代码
- 不会使恶意软件更难被检测
**直接读取原始二进制文件:**
- 不会直接分析 PE/ELF 文件
- 先使用工具(strings, objdump 等)
- 然后让 Claude 分析输出
### 实际示例会话
```
# ===== On Analysis VM (Manual) =====
analyst@remnux:~$ strings malware.exe > /mnt/export/strings.txt
analyst@remnux:~$ objdump -d malware.exe > /mnt/export/disasm.txt
analyst@remnux:~$ # Execute malware with monitoring
analyst@remnux:~$ cp evidence/* /mnt/export/
# ===== On Host (Claude Code) =====
you@host:~$ cd /malware-analysis/evidence
you@host:~$ # In Claude Code session:
> "Help me triage this sample"
> Read strings.txt
> Read procmon_export.csv
Claude: "Based on the evidence, this appears to be a remote access
trojan (RAT). Key indicators:
- Network connection to 185.220.101.x:4444
- Registry persistence via Run key
- Process injection into explorer.exe
- Keylogging behavior (GetAsyncKeyState calls)
..."
> "Create detection rules for this RAT"
Claude: [Creates YARA rule, Sigma rule, Suricata rule]
> "Write the complete analysis report"
Claude: [Generates full professional report]
```
### 专业提示
1. **以文本格式导出证据:**
- Procmon → CSV(不是 .PML)
- Wireshark → 文本导出,HTTP 对象
- Sysmon → CSV 或 JSON
- 内存分析 → 文本输出
2. **使用只读共享:**
- 虚拟机只能写入共享,不能读取
- 防止虚拟机访问您的主机文件
3. **批量分析:**
- 分析多个样本
- 导出所有证据
- 使用 Claude Code 进行批量分析
4. **模板和自动化:**
- 在虚拟机中创建导出脚本
- 使用 Claude Code 创建分析模板
- 简化您的工作流
5. **版本控制:**
- 将分析笔记保存在 git 中
- 跟踪检测规则版本
- 为您的报告进行版本管理
### 故障排除
**问:Claude Code 拒绝读取我的证据文件**
答:确保它是文本格式(CSV, JSON, TXT),而不是二进制格式(PML, PCAP, EVTX)
**问:如何将 PCAP 转换为文本?**
答:使用 tshark:
```
tshark -r capture.pcap -Y http -T fields -e http.host -e http.request.uri > http_traffic.txt
```
**问:如何将 EVTX 转换为 CSV?**
答:在 Windows 上:
```
Get-WinEvent -Path sysmon.evtx | Export-Csv sysmon.csv
```
**问:Claude Code 说文件太大**
答:先过滤或汇总:
```
# Instead of reading all 50k lines
grep "malware.exe" procmon_huge.csv > procmon_filtered.csv
# Then read the filtered version
```
## 📚 详细技能文档
### 1. 恶意软件分类 (Malware Triage)
**目的:** 快速初步评估(每个样本 5-30 分钟)
**何时使用:**
- 您有一个新的未知样本
- 需要对多个样本进行优先级排序
- 在深度分析前需要快速分类
- 时间受限的分析
**提供:**
- 文件哈希计算(MD5, SHA1, SHA256)
- 在线信誉查询指导
- PE 结构分析
- 字符串提取工作流
- 恶意软件类型分类
- 威胁等级评估
- 行为预测
- 优先级确定
- 分类报告模板
**关键特性:**
- 结构化的 5 阶段工作流
- 可疑 API 导入数据库
- 分类决策树
- 时间管理策略
- 与完整分析的集成
**文件:**
```
malware-triage/
├── SKILL.md
├── references/
│ ├── indicators.md # Suspicious APIs & patterns
│ └── triage_checklist.md # Step-by-step guide
└── scripts/
└── hash_calculator.py
```
### 2. 恶意软件动态分析
**目的:** 安全执行和全面行为监控
**何时使用:**
- 需要观察实际的恶意软件行为
- 验证静态分析假设
- 捕获 C2 通信
- 记录运行时活动
- 提取动态 IOC
**提供:**
- 执行前安全检查清单
- 工具设置(Procmon, Wireshark, Process Hacker, Sysmon)
- 监控工作流:
- 进程活动和注入
- 文件系统操作
- 注册表修改
- 网络通信
- 持久化机制
- 工件收集程序
- 自动化沙箱使用(ANY.RUN, Joe Sandbox)
- 证据导出工作流
**关键特性:**
- 安全优先的方法,包含隔离验证
- 逐步的工具配置
- 实时监控指导
- 行为 IOC 提取
- 时间线创建
- 与报告撰写的集成
**文件:**
```
malware-dynamic-analysis/
├── SKILL.md
├── references/
│ ├── tool_setup.md # Procmon, Wireshark, etc.
│ ├── sandbox_setup.md # Local sandbox installation
│ └── anti_analysis_bypass.md # VM detection bypass
└── scripts/
└── (monitoring automation scripts)
```
### 3. 专业文件分析器
**目的:** 分析需要专门工具的非 PE 文件格式
**当您遇到以下情况时使用:**
- **.NET/C# 程序集** - 需要反编译的托管可执行文件
- **Office 文档** - 带有 VBA/XLM 宏的 Word/Excel
- **PDF 文件** - 带有 JavaScript/漏洞利用的可疑 PDF
- **脚本** - PowerShell, VBScript, JavaScript, 批处理文件
- **归档文件** - ZIP, RAR, 7z, TAR.GZ
- **快捷方式** - .LNK 文件
- **Linux 二进制文件** - ELF 可执行文件
**提供:**
- **按格式划分的工作流:**
- .NET: dnSpy/ILSpy 反编译,de4dot 去混淆
- Office: oledump/olevba 宏提取,XLM 宏分析
- PDF: pdfid/pdf-parser/peepdf JavaScript 提取
- PowerShell: PSDecode 去混淆,模式分析
- 脚本: 去混淆技术
- 归档文件: 安全检查和提取
- LNK: LECmd/lnkinfo 分析
- ELF: readelf/strace/ltrace 分析
**关键特性:**
- 快速文件类型识别
- 特定格式的工具
- 去混淆技术
- 按格式提取 IOC
- 与主报告集成
**文件:**
```
specialized-file-analyzer/
├── SKILL.md
├── references/
│ ├── dotnet_analysis.md
│ ├── office_macros.md
│ ├── pdf_analysis.md
│ └── script_analysis.md
└── scripts/
└── (format-specific helpers)
```
### 4. 检测工程师
**目的:** 将分析发现转换为生产环境检测规则
**当您需要以下内容时使用:**
- **Sigma 规则** 用于 SIEM (Splunk, Elastic, QRadar, Sentinel)
- **Suricata/Snort 规则** 用于网络 IDS/IPS
- **搜寻查询** 用于 SOC/威胁搜寻
- **IOC 脱敏** 用于安全文档
- **IOC 格式转换** (CSV, STIX, OpenIOC)
**提供:**
- IOC 脱敏工作流(URL, IP, 域名, 邮箱)
- IOC 置信度和波动性评估
- Sigma 规则创建:
- 进程创建检测
- 网络连接监控
- 注册表修改检测
- 文件创建警报
- Logsource 配置
- Sigma 到 SIEM 的转换
- Suricata 规则创建:
- HTTP/HTTPS C2 检测
- DNS 查询监控
- TLS/证书分析
- 恶意软件下载检测
- 搜寻查询模板(Splunk, Elastic, EDR)
- IOC 导出格式(STIX 2.1, CSV, OpenIOC)
**关键特性:**
- 自动化 IOC 脱敏
- 规则测试程序
- 误报分析
- MITRE ATT&CK 标签
- 多格式导出
**文件:**
```
detection-engineer/
├── SKILL.md
├── references/
│ ├── sigma_examples.md
│ ├── suricata_examples.md
│ └── ioc_standards.md
└── scripts/
└── ioc_defanger.py
```
### 5. 恶意软件报告撰写器
**目的:** 创建专业的、企业级的恶意软件分析报告
**何时使用:**
- 记录分析发现
- 创建正式的可交付成果
- 为执行/技术受众撰写
- 正式化 IOC 和检测规则
- 创建 YARA 签名
**提供:**
- 完整的报告模板(12 个部分)
- 执行摘要指南
技术分析结构
- IOC 文档标准
- YARA 规则创建(测试 + 验证)
- 补救建议
- 质量保证检查清单
- 高效的工作流策略
**关键特性:**
- 多受众写作指导
- YARA 规则最佳实践
- 需要避免的常见错误
- 逐节模板
- 专业格式化
**文件:**
```
malware-report-writer/
├── SKILL.md
├── assets/
│ └── report_template.md # Complete report structure
└── references/
└── best_practices.md # Writing standards & tips
```
## 🔄 完整分析工作流
### 阶段 1:初步分类
**技能:** `malware-triage`
1. 计算所有样本的哈希
2. 快速信誉查询(VirusTotal, MalwareBazaar)
3. 快速分类
4. 样本优先级排序(高/中/低)
5. 记录初步发现
**输出:** 所有样本的分类报告、优先级列表
### 阶段 2:深度分析
**对于标准 PE 可执行文件:**
**技能:** `malware-dynamic-analysis`
1. 设置隔离的虚拟机环境
2. 配置监控工具(Procmon, Wireshark, Process Hacker)
3. 执行恶意软件
4. 监控行为(15-60 分钟)
5. 提取行为 IOC
6. 收集工件
**对于非 PE 文件:**
**技能:** `specialized-file-analyzer`
1. 识别文件类型(`file` 命令)
2. 选择适当的分析工具:
- .NET → dnSpy/ILSpy
- Office → oledump/olevba
- PDF → pdfid/pdf-parser
- Scripts → PSDecode/手动分析
- ELF → readelf/strace
3. 提取/去混淆内容
4. 记录功能
5. 提取 IOC
**输出:** 完整的技术分析、行为 IOC、截图、PCAP
### 阶段 3:检测工程
**技能:** `detection-engineer`
1. 审查所有提取的 IOC
2. 对文档进行 IOC 脱敏
3. 评估 IOC 置信度级别
4. 创建用于行为检测的 Sigma 规则
5. 创建用于网络检测的 Suricata 规则
6. 生成搜寻查询
7. 测试所有规则
**输出:** 经过测试的 Sigma 规则、Suricata 规则、脱敏的 IOC 列表、搜寻查询
### 阶段 4:报告文档化
**技能:** `malware-report-writer` + `detection-engineer`
1. **起草技术部分**
- 样本信息
- 静态分析发现
- 动态分析观察
- 专业文件分析结果
2. **添加检测内容**
- YARA 规则(针对样本进行测试!)
- Sigma 规则
- Suricata 规则
- 带置信度评级的脱敏 IOC
- 补救建议
3. **撰写非技术部分**
- 执行摘要
- 恶意软件分类
- 结论
- 附录
4. **质量保证**
- 运行质量检查清单
- 测试所有检测规则
- 验证所有哈希
- 语法/拼写检查
- 最终格式化
**输出:** 专业的恶意软件分析报告(PDF)
## 💡 使用示例
### 示例 1:完整分析工作流
```
User: "I need to analyze this suspicious .exe sample"
Workflow:
1. "Help me triage this sample" → malware-triage
- Calculates hashes
- Checks VirusTotal
- Analyzes PE structure
- Classifies as trojan/RAT
- Priority: High
2. "Guide me through dynamic analysis" → malware-dynamic-analysis
- Verifies VM isolation
- Sets up Procmon, Wireshark, Process Hacker
- Executes sample
- Monitors for 15 minutes
- Extracts behavioral IOCs
3. "Create detection rules for this malware" → detection-engineer
- Defangs all IOCs
- Creates Sigma rule for process injection
- Creates Suricata rule for C2 traffic
- Generates hunting queries
4. "Help me write the analysis report" → malware-report-writer
- Uses report template
- Structures all findings
- Creates YARA rule
- Reviews with quality checklist
```
### 示例 2:带有宏的 Office 文档
```
User: "I have a suspicious Word document with macros"
Workflow:
1. "Help me triage this .docm file" → malware-triage
- Identifies Office document
- Checks VirusTotal
- Classifies as macro dropper
2. "Analyze the macros in this document" → specialized-file-analyzer
- Guides oledump.py usage
- Extracts VBA macro code
- Identifies AutoOpen function
- Deobfuscates strings
- Finds PowerShell download cradle
3. "Create detections for this macro malware" → detection-engineer
- Defangs URLs from macro
- Creates Sigma rule for macro execution
- Creates hunting query for similar documents
4. "Write the report" → malware-report-writer
- Documents macro analysis
- Includes sanitized macro code
- Creates YARA rule for document
```
### 示例 3:多样本分类
```
User: "I have 10 samples to analyze, help me prioritize"
Workflow:
1. "Triage all 10 samples" → malware-triage (use 10 times)
- Quick triage (5-10 min each)
- Hash + VirusTotal for all
- Classifications recorded
- Priority assigned
2. Results:
- 3 High Priority (unknown/sophisticated)
- 5 Medium Priority (known variants)
- 2 Low Priority (common adware)
3. Strategy:
- Phase 1-2: Deep analysis on 3 high-priority samples
- Phase 2-3: Quick analysis on 5 medium-priority samples
- Document low-priority findings (note in report)
```
## ⚡ 有效分析的专业提示
### 时间管理
- ✅ **先对所有样本进行分类**(有效确定优先级)
- ✅ **边分析边记录**(不要留到最后)
- ✅ **在分析过程中创建检测规则**(不要作为事后补充)
- ✅ **立即测试 YARA 规则**(避免后续失败)
- ❌ **不要在一个样本上花费过多时间**(合理分配精力)
### 质量胜于数量
- ✅ **深度分析 2-3 个样本** 优于浅显分析 10 个
- ✅ **专注于创建可工作的检测规则**
- ✅ **清晰地记录方法论**
- ❌ **不要提交未测试的 YARA/Sigma 规则**
### 策略性地使用技能
- ✅ **对所有样本使用分类技能**(快速初步评估)
- ✅ **对未知样本使用动态分析**(需要行为数据)
- ✅ **在需要时使用专业文件分析器**(不要强行对文档进行 PE 分析)
- ✅ **最后使用检测工程师**(整合 IOC)
- ✅ **持续使用报告撰写器**(随时更新)
## 🎓 特定技能的最佳实践
### 恶意软件分类
- 对所有样本使用快速分类(5 分钟)进行初步扫描
- 对高优先级样本使用标准分类(15 分钟)
- 不要跳过哈希计算(所有样本都需要)
- 记录预测的行为(指导动态分析)
### 恶意软件动态分析
- **始终**在执行前验证虚拟机隔离
- 在执行恶意软件**之前**启动监控工具
- 至少观察 15 分钟(某些恶意软件有延迟)
- 在还原虚拟机**之前**导出所有工件
- 对异常行为进行截图
### 专业文件分析器
- **先看文件类型** - 使用 `file` 命令确认
- **为格式选择正确的工具** - 不要在 Office 文档上使用 PE 工具
- 测试去混淆输出(确保其有意义)
- 保存混淆和去混淆的两个版本
- 记录去混淆方法论
### 检测工程师
- **始终在报告中脱敏 IOC**(避免意外点击)
- **在记录之前测试规则**(必须能工作!)
- 标记 IOC 置信度(高/中/低)
- 注明 IOC 波动性(静态/动态)
- 包含误报分析
### 恶意软件报告撰写器
- **最后写执行摘要**(在了解完整范围后)
- **针对样本和干净文件测试所有 YARA 规则**
- 在提交前使用质量检查清单
- 语法/拼写很重要(专业外观)
- 包含所有三个哈希(MD5, SHA1, SHA256)
## 📖 其他资源
### 恶意软件分析培训
- **TCM Security:** Practical Malware Analysis & Triage (https://certifications.tcm-sec.com/pmrp/)
- **SANS:** FOR610, FOR710 恶意软件分析课程
- **Open Security Training:** 免费恶意软件分析课程
### 恶意软件样本来源(练习)
- MalwareBazaar: https://bazaar.abuse.ch/
- VirusTotal: https://www.virustotal.com/
- Hybrid Analysis: https://www.hybrid-analysis.com/
### 工具文档
- Sysinternals Suite: https://docs.microsoft.com/en-us/sysinternals/
- Wireshark: https://www.wireshark.org/docs/
- dnSpy: https://github.com/dnSpy/dnSpy
- Didier Stevens Tools: https://blog.didierstevens.com/programs/
- Sigma: https://github.com/SigmaHQ/sigma
- Suricata: https://docs.suricata.io/
### 参考材料
- SANS Malware Analysis Cheat Sheet: https://www.sans.org/posters/
- MITRE ATT&CK: https://attack.mitre.org/
- MalAPI.io (Windows APIs): https://malapi.io/
## ❓ 常见问题
**问:我需要使用所有 5 个技能吗?**
答:不需要!根据您的具体需求使用技能。分类 和报告撰写器 最常用。其他视情况而定。
**问:我可以在现实世界的工作中使用这些技能吗?**
答:当然可以!这些技能基于企业级恶意软件分析标准和工作流。
**问:我应该从哪个技能开始?**
答:使用根目录 `SKILL.md` 编排器 —— 它会自动处理路由。只需描述您的需求,它会引导您完成正确的顺序。
**问:我怎么知道文件是否需要 specialized-file-analyzer?**
答:运行 `file sample.bin`。如果输出显示:.NET 程序集、Office 文档、PDF、脚本或 ELF → 使用 specialized-file-analyzer。
**问:这些技能适合专业工作吗?**
答:是的!这些技能基于安全专业人员和事件响应人员使用的行业标准恶意软件分析工作流。
**问:我可以修改技能提示吗?**
答:可以!进行自定义以适应您的工作流程和偏好。
**问:如果我遇到未涵盖的文件类型怎么办?**
答:使用 malware-triage 和 dynamic-analysis 的一般原则,然后搜索特定格式的工具。
## 🏆 分析质量检查清单
在完成分析之前,请验证:
**分析阶段:**
- [ ] 所有样本已分类(哈希、分类、优先级)
- [ ] 高优先级样本已深度分析(静态 + 动态)
- [ ] 特殊文件已使用适当的工具分析
- [ ] 所有工件已收集(PCAP、截图、日志)
- [ ] 行为 IOC 已提取
**检测阶段:**
- [ ] 所有 IOC 已正确脱敏
- [ ] 已分配 IOC 置信度级别
- [ ] YARA 规则已创建并测试
- [ ] Sigma 规则已创建并验证
- [ ] Suricata 规则已测试(如适用)
- [ ] 搜寻查询已记录
**报告阶段:**
- [ ] 报告使用专业模板
- [ ] 执行摘要已撰写(非技术性)
- [ ] 所有技术部分已完成
- [ ] 每个样本都包含所有三个哈希
- [ ] 检测规则已测试且可工作
- [ ] 语法/拼写已检查
- [ ] 质量检查清单已完成
- [ ] 准备交付!
## 🎯 快速参考:技能选择
| 您的问题 | 使用此技能 |
|---------------|----------------|
| “这是什么文件?” | malware-triage |
| “我该如何安全地执行它?” | malware-dynamic-analysis |
| “我该如何分析这个 Word 文档?” | specialized-file-analyzer |
| “我该如何分析这个 .NET exe?” | specialized-file-analyzer |
| “我该如何分析这个 PowerShell 脚本?” | specialized-file-analyzer |
| “我该如何创建 Sigma 规则?” | detection-engineer |
| “我该如何脱敏 IOC?” | detection-engineer |
| “我该如何撰写报告?” | malware-report-writer |
| “我该如何创建 YARA 规则?” | malware-report-writer |
## 🎉 您准备好了!
这个完整的工具包提供了专业恶意软件分析所需的一切:
- ✅ **1 个编排器 + 5 个专业技能** 覆盖完整的分析生命周期
- ✅ **专家级工作流** 适用于每个分析阶段
- ✅ **清晰的技能选择指导**(为工作使用正确的工具)
- ✅ **技能之间的集成策略**
- ✅ **行业最佳实践** 和时间管理
- ✅ **质量保证检查清单** 用于专业交付物
**上传技能并开始分析吧!**
*为安全专业人员、事件响应人员和恶意软件分析师构建。 🔐🎯*
标签:AI安全助手, Claude Skills, DAST, DNS信息、DNS暴力破解, DNS 反向解析, FlareVM, Go语言工具, IOC提取, IP 地址批量处理, Linux恶意软件, LLM安全工具, Metaprompt, .NET分析, PDF恶意文件, REMnux, Sigma规则, Triage, YARA规则, 云安全监控, 云资产清单, 威胁情报, 安全报告生成, 宏病毒分析, 开发者工具, 恶意软件分析, 搜索语句(dork), 沙箱技术, 漏洞利用分析, 目标导入, 网络信息收集, 网络安全审计, 自动化分析, 计算机应急响应, 跨站脚本, 逆向工具, 逆向工程, 静态分析