wellingtonlee/malware-analysis-skills
GitHub: wellingtonlee/malware-analysis-skills
基于 Agent Skills 标准构建的 30 个 AI 恶意软件分析技能集合,覆盖从样本分类、逆向工程到威胁情报报告生成的完整分析生命周期。
Stars: 0 | Forks: 0
# 恶意软件分析技能
基于开源的 [Agent Skills](https://agentskills.io/specification) 标准 (SKILL.md) 构建的 30 个 AI agent 恶意软件分析技能合集。
这些技能涵盖了完整的恶意软件分析生命周期——从初始分类到报告生成——以及针对特定恶意软件家族的专业技能和通用工具。
## 技能分类
### 分析阶段 (14 项技能)
| 技能 | 描述 |
|-------|-------------|
| [initial-triage](skills/analysis-stages/initial-triage/) | 快速文件评估 —— 哈希、文件类型、元数据、VirusTotal 查询 |
| [static-analysis](skills/analysis-stages/static-analysis/) | 无需执行即可分析二进制文件 —— 字符串、PE 头、导入表、熵值 |
| [dynamic-analysis](skills/analysis-stages/dynamic-analysis/) | 在沙箱中执行并监控行为 —— API 调用、文件系统、注册表 |
| [behavioral-analysis](skills/analysis-stages/behavioral-analysis/) | 分类行为模式 —— 持久化、C2、横向移动 |
| [reverse-engineering](skills/analysis-stages/reverse-engineering/) | 深度代码分析 —— 反汇编、反编译、控制流 |
| [memory-forensics](skills/analysis-stages/memory-forensics/) | RAM 转储分析 —— 进程注入、凭据提取、rootkit 检测 |
| [network-traffic-analysis](skills/analysis-stages/network-traffic-analysis/) | PCAP 分析 —— DNS、C2 协议、数据窃取 |
| [yara-rule-development](skills/analysis-stages/yara-rule-development/) | 创建并测试 YARA 检测规则 |
| [ioc-extraction](skills/analysis-stages/ioc-extraction/) | 提取失陷指标 —— 哈希、IP、域名、互斥体 |
| [threat-intelligence](skills/analysis-stages/threat-intelligence/) | 将发现与威胁情报关联 —— ATT&CK 映射、归因 |
| [malware-deobfuscation](skills/analysis-stages/malware-deobfuscation/) | 破解混淆和加壳 —— 脱壳、解密、去混淆 |
| [sandbox-evasion-detection](skills/analysis-stages/sandbox-evasion-detection/) | 识别并对抗反分析技术 |
| [malware-report-writing](skills/analysis-stages/malware-report-writing/) | 生成结构化分析报告 —— STIX、执行摘要 |
| [code-similarity-analysis](skills/analysis-stages/code-similarity-analysis/) | 比较样本以进行家族分类 —— 模糊哈希、代码复用 |
### 恶意软件类型 (10 项技能)
| 技能 | 描述 |
|-------|-------------|
| [ransomware-analysis](skills/malware-types/ransomware-analysis/) | 加密识别、密钥恢复、勒索信分析 |
| [rootkit-analysis](skills/malware-types/rootkit-analysis/) | 内核/用户模式 rootkit 检测 —— DKOM、钩子、驱动分析 |
| [fileless-malware-analysis](skills/malware-types/fileless-malware-analysis/) | 仅驻留内存的威胁 —— PowerShell、WMI、LOLBins |
| [apt-analysis](skills/malware-types/apt-analysis/) | 高级持续性威胁 —— 多阶段、基础设施映射 |
| [botnet-analysis](skills/malware-types/botnet-analysis/) | C2 基础设施 —— DGA 检测、协议逆向工程 |
| [mobile-malware-analysis](skills/malware-types/mobile-malware-analysis/) | Android/iOS —— APK 分析、权限、应用行为 |
| [document-malware-analysis](skills/malware-types/document-malware-analysis/) | 恶意文档 —— Office 宏、PDF 漏洞利用 |
| [webshell-analysis](skills/malware-types/webshell-analysis/) | Web 服务器后门 —— 混淆的 PHP/ASPX/JSP |
| [supply-chain-malware-analysis](skills/malware-types/supply-chain-malware-analysis/) | 软件包攻击 —— 域名仿冒、依赖混淆 |
| [firmware-malware-analysis](skills/malware-types/firmware-malware-analysis/) | 固件威胁 —— UEFI、bootkit、嵌入式设备恶意软件 |
### 实用工具 (6 项技能)
| 技能 | 描述 |
|-------|-------------|
| [sample-acquisition](skills/utilities/sample-acquisition/) | 从仓库和订阅源安全获取恶意软件样本 |
| [analysis-environment-setup](skills/utilities/analysis-environment-setup/) | 配置隔离的分析环境 |
| [anti-analysis-bypass](skills/utilities/anti-analysis-bypass/) | 在分析过程中对抗恶意软件防御的技术 |
| [capa-analysis](skills/utilities/capa-analysis/) | 使用 Mandiant 的 capa 框架识别能力 |
| [stix-report-generation](skills/utilities/stix-report-generation/) | 生成 STIX 2.1 威胁情报报告 |
| [mitre-attack-mapping](skills/utilities/mitre-attack-mapping/) | 将行为映射到 MITRE ATT&CK 技术 |
## 安装
### 作为项目技能 (通过 git 进行团队共享)
```
cp -r skills/ /path/to/your/project/.claude/skills/
```
### 作为个人技能 (在所有项目中可用)
```
cp -r skills/ ~/.claude/skills/
```
### 挑选单个技能
```
# 仅复制所需的技能
cp -r skills/analysis-stages/initial-triage/ ~/.claude/skills/initial-triage/
```
## 需求
### 核心工具 (技能引用)
- Python 3.10+
- [Ghidra](https://ghidra-sre.org/) 或 [IDA Pro](https://hex-rays.com/ida-pro/)
- [YARA / YARA-X](https://virustotal.github.io/yara-x/)
- [Volatility 3](https://github.com/volatilityfoundation/volatility3)
- [capa](https://github.com/mandiant/capa)
- [Wireshark / tshark](https://www.wireshark.org/)
### 可选 API 密钥 (用于增强功能)
技能同时支持离线和在线模式。设置这些环境变量以进行 API 增强分析:
```
export VT_API_KEY="your-virustotal-api-key"
export MALWAREBAZAAR_API_KEY="your-malwarebazaar-key"
export SHODAN_API_KEY="your-shodan-key"
export OTX_API_KEY="your-otx-key"
```
## 跨平台支持
所有脚本均包含平台检测,并支持 Linux 和 Windows 环境。主要测试目标:
- **Linux**: REMnux, FLARE VM on Linux, Ubuntu/Debian
- **Windows**: FLARE VM, Windows Sandbox
## 标准与参考
- [Agent Skills 规范](https://agentskills.io/specification)
- [MITRE ATT&CK 框架](https://attack.mitre.org/)
- [STIX 2.1 标准](https://oasis-open.github.io/cti-documentation/)
- [YARA 文档](https://yara.readthedocs.io/)
- [Volatility 3 文档](https://volatility3.readthedocs.io/)
## 许可证
MIT
标签:AD攻击面, Agent Skills 标准, C2 检测, DAST, DLL 劫持, DNS 反向解析, HTTP工具, IOC 提取, IP 地址批量处理, PE 加载器, PE 文件分析, Rootkit 检测, SecList, YARA 规则, 云安全监控, 云资产清单, 代码混淆, 内存取证, 合规性检查, 后渗透, 大语言模型, 威胁情报, 子域名变形, 安全工具集, 开发者工具, 恶意样本, 恶意软件分析, 数字取证, 数据包嗅探, 数据渗透, 文件哈希, 无线安全, 横向移动, 沙箱逃逸, 结构化查询, 编程规范, 网络安全, 网络安全审计, 网络流量分析, 自动化安全, 自动化脚本, 逆向工具, 逆向工程, 隐私保护, 静态分析