dr0pd34d/ARC

# ARC — Artifact Rule Checker ## 概述 ARC 使红队操作员能够提交编译后的工件（可执行文件、DLL、脚本、shellcode 等），并针对各种 YARA 规则集对其进行扫描。 开箱即用，ARC 自带**两个预安装的规则集**，其中包括 [YARA Forge](https://github.com/YARAHQ/yara-forge) **完整**规则集 —— 目前包含源自 40 多个威胁情报存储库（包括 Malpedia、SEKOIA、Signature Base、FireEye-RT 等）的 **11,600 多条规则**。 此外，操作员可以通过 Web 界面**上传自己的自定义规则集**（.yar / .yara 文件），以针对定制的组织签名或新开发的检测方法测试载荷。 该应用程序还可以每天自动同步 YARA Forge 发布的规则集，确保操作员始终针对防御者使用的最新检测签名进行测试。 ### 核心功能 | 功能 | 描述 | |---|| | **工件扫描** | 上传任何文件，接收唯一的跟踪 GUID，并针对 11,600 多条 YARA 规则或自定义签名进行扫描 | | **规则集管理** | 两个预安装集、自定义上传功能，以及自动每日 `yara-forge-rules-full.zip` 同步 | | **多操作员支持** | 多个工作进程并发处理扫描 —— 团队可同时使用 ARC | | **实时结果** | 基于 WebSocket 的实时结果更新，随规则匹配即时显示 | | **完整审计跟踪** | 每次扫描记录文件哈希（MD5/SHA1/SHA256）、规则集版本、时间戳和操作员身份 | | **深色/浅色主题** | 现代响应式 UI，默认深色模式并支持切换 | ## 使用场景 在红队交战期间，操作员需要验证其工具（植入程序、加载器、投递程序、脚本）在部署前不会触发已知的基于 YARA 的检测。ARC 提供了一个自托管、私密的扫描环境，用于： 1. 在部署到目标环境之前对工件进行**飞行前检查** 2. 通过重新扫描修改后的载荷来**迭代**混淆/规避技术 3. **跟踪**测试时处于活动状态的规则集，用于交战报告 4. 通过共享扫描历史记录在团队成员之间**协作** ## 文档 | 文档 | 描述 | |---|| | [架构](./ARCHITECTURE.md) | 系统架构、组件设计、数据流 | | [技术栈](./TECH_STACK.md) | 技术选型与理由 | | [API](./API.md) | REST 与 WebSocket API 规范 | | [数据库 Schema](./DATABASE.md) | 数据模型与关系 | | [调度器](./SCHEDULER.md) | YARA Forge 规则同步调度器设计 | | [UI/UX](./UI_UX.md) | 前端设计、页面及组件分解 | | [部署](./DEPLOYMENT.md) | Docker 设置、配置及生产部署 | ## 快速开始 ``` # 克隆并启动 git clone arc cd arc docker compose up -d # ARC 将在 http://localhost:3000 上可用 # 首次启动时，scheduler 将下载最新的 YARA Forge rule set ``` ## 许可证 GNU General Public License v3.0。有关更多信息，请参阅 `LICENSE`。

标签：DAST, DNS 反向解析, DNS 解析, IP 地址批量处理, Payload检测, YARA, YARAForge, 二进制分析, 云安全运维, 云资产可视化, 威胁情报, 实时结果, 审计日志, 工件扫描, 开发者工具, 恶意软件分析, 数据展示, 知识库安全, 私有化部署, 签名匹配, 红队, 红队作战, 自定义脚本, 自定义脚本, 自托管, 规则管理, 请求拦截, 防御规避