HiyokoSauna37/claudecode-re-toolkit

# claudecode-re-toolkit 用于 [Claude Code](https://claude.com/claude-code) 的逆向工程与恶意软件分析工具包——通过 Claude Code 技能集成静态分析、动态分析和网络取证。 ## 功能 | 技能 | 描述 | 后端 | |-------|-------------|---------| | **proxy-web** | 安全访问恶意网站并进行完整取证捕获 | Docker (Chromium + Playwright) | | **ghidra-headless** | 使用 Ghidra 进行自动化静态分析（反编译、导入表、字符串、YARA、CAPA） | Docker (Ghidra 12.0.3) | | **vmware-sandbox** | 使用 VMware VM 进行动态恶意软件分析（脱壳、Frida DBI、FakeNet） | VMware Workstation | ## 架构 ``` ┌─────────────────────────────────────────────────┐ │ Claude Code │ │ (AI-driven orchestration) │ ├───────────────┬───────────────┬─────────────────┤ │ proxy-web │ ghidra-headless│ vmware-sandbox │ │ (Docker) │ (Docker) │ (VMware VM) │ ├───────────────┼───────────────┼─────────────────┤ │ • Screenshot │ • Decompile │ • Unpacking │ │ • HTML save │ • Imports │ • Frida DBI │ │ • Downloads │ • Strings │ • FakeNet C2 │ │ • VT/MB/TF │ • YARA/CAPA │ • PE-sieve │ │ • AES encrypt │ • IOC extract │ • Memory dump │ │ • Tor support │ • Classify │ • x64dbg │ └───────────────┴───────────────┴─────────────────┘ ``` ## 快速开始 ### 前置条件 - **Windows 10/11**（不支持 Linux/macOS） - 已安装 [Claude Code](https://claude.com/claude-code) - Docker Desktop 正在运行 - [VMware Workstation Pro](https://www.vmware.com/products/desktop-hypervisor/workstation-and-fusion)（vmware-sandbox 技能需要 vmrun CLI） - Go 1.21+ - Python 3.10+ ### 设置 ``` # 克隆 git clone https://github.com/HiyokoSauna37/claudecode-re-toolkit.git cd claudecode-re-toolkit # 环境变量 cp .env.example .env # 使用您的 API keys 和密码编辑 .env # 构建 proxy-web cd tools/proxy-web go build -o proxy-web.exe . docker build -t proxy-web-browser:latest . cd ../.. # 启动 ghidra-headless cd tools/ghidra-headless docker compose up -d cd ../.. # VMware 沙箱设置 (见 docs) # tools/vmware-sandbox/docs/VM-SETUP.md ``` ### 配合 Claude Code 使用 ``` # 在仓库中启动 Claude Code claude # 然后使用技能： # "分析此 URL 是否存在恶意软件" → proxy-web # "使用 Ghidra 分析此二进制文件" → ghidra-headless # "对此加壳二进制文件运行动态分析" → vmware-sandbox ``` ## 典型工作流程 1. **网络收集**：使用 proxy-web 安全访问恶意 URL 并收集样本 2. **静态分析**：使用 ghidra-headless 分析下载的二进制文件（YARA、CAPA、反编译） 3. **动态分析**：对于加壳/混淆样本，使用 vmware-sandbox 进行运行时分析 4. **再分析**：使用 ghidra-headless 分析脱壳后的二进制文件以进行完整反编译 ## 安全 - 所有恶意软件下载均在 Docker 容器内使用 AES-256-CBC 加密 - VM 动态分析在 网络隔离模式下运行 - **切勿在主机操作系统上解密恶意软件**——始终在 Docker/VM 内解密 - 隔离区和输出目录已被 gitignore ## 工具详情 ### proxy-web 基于 Go 的 CLI 工具，用于安全网络取证： - Docker 隔离的 Chromium 浏览器 - 所有下载自动进行 AES-256 加密 - 集成 VirusTotal、MalwareBazaar、ThreatFox - Tor 代理支持 - 针对 C2 服务器的目录列表解析器 ### ghidra-headless 基于 Docker 的 Ghidra 自动化： - 完整二进制分析（信息、导入表、导出表、字符串、函数、交叉引用、反编译） - 使用 signature-base 和 yara-forge 规则进行 YARA 扫描 - Mandiant CAPA 能力分析及 MITRE ATT&CK 映射 - IOC 提取（IP、域名、URL、哈希、注册表键） - 恶意软件分类（InfoStealer、勒索软件、RAT、Dropper、Loader、蠕虫） ### vmware-sandbox VMware Workstation VM 自动化： - 3 级脱壳系统（memdump-racer → TinyTracer → x64dbg） - Frida DBI 支持反调试绕过和内存转储 - 集成 FakeNet-NG 用于 C2 协议捕获 - 网络隔离管理 - 全面的客户机工具套件（x64dbg、PE-sieve、HollowsHunter 等） ## 许可证 MIT License

标签：C2检测, CAPA, Claude Code, DAST, DNS 反向解析, Docker, Docker支持, Frida, Ghidra, IDA, IP 地址批量处理, SecList, VMware, Web安全, YARA, 二进制分析, 云安全监控, 云安全运维, 云资产可视化, 云资产清单, 人工智能安全, 内存取证, 合规性, 威胁情报, 安全防御评估, 工具包, 开发者工具, 恶意软件分析, 无线安全, 日志审计, 沙箱, 特征检测, 网络安全, 网络安全审计, 脱壳, 自动化分析, 蓝队分析, 请求拦截, 跨站脚本, 逆向工具, 逆向工程, 隐私保护, 静态分析