kiurakku/MalKit-Malware-Analysis-Reverse-Engineering-Toolkit

# MalKit — 恶意软件分析与逆向工程 Toolkit 核心理念：你不仅是“学习”，而是从头构建**自己的恶意软件分析框架**。每个模块是独立的工作方向；它们共同组成一个完整的系统。 GitHub 仓库：[kiurakku/MalKit-Malware-Analysis-Reverse-Engineering-Toolkit](https://github.com/kiurakku/MalKit-Malware-Analysis-Reverse-Engineering-Toolkit)。 ### 文档（详情见单独文件） 在 [`docs/`](docs/) 文件夹中，所有内容按**阅读顺序**排列： 1. [`docs/README.md`](docs/README.md) — 目录与顺序。 2. [`docs/00-resources.md`](docs/00-resources.md) — 工具、链接（PE, MITRE, crackme, cyber 实验室）。 3. [`docs/01-structure.md`](docs/01-structure.md) — 完整目录树，文件存放位置，模块间流程。 4. [`docs/02-workflow.md`](docs/02-workflow.md) — 工作阶段，Git，每周产出物。 5. [`docs/03-learning-plan-week-01.md`](docs/03-learning-plan-week-01.md) — **第 1 周，从周一开始**（天数、时间、任务、资源）。 6. [`docs/04-weeks-02-plus-outline.md`](docs/04-weeks-02-plus-outline.md) — 第 2–6+ 周的每日安排（参考）+ 日志。 **Dev + Cyber + RE** 总体路线图（阶段、学时、 discipline）：[`ROADMAP-Dev-Cyber-RE.md`](ROADMAP-Dev-Cyber-RE.md)。 ## 仓库结构 ``` MalKit/ ├── docs/ # Структура, workflow, план тижня з понеділка ├── core/ # Базовий статичний профіль файлу ├── dynamic/ # Поведінковий аналіз ├── intel/ # Threat intelligence ├── research/ # Write-ups, crackme, C→ASM лабораторія └── pentest-bridge/ # Перетин з напрямом pentest ``` ### `core/` — 系统核心 - **`binary-profiler`** — PE/ELF 分析器（Python, CLI + JSON output）。 - **`string-hunter`** — 提取经过混淆的字符串（XOR, ROT, base64）。 - **`entropy-scanner`** — 通过节熵检测壳。 它们共同构成“分析师的签名”：在任何文件上首先运行这些工具，在进入 Ghidra 之前获得全貌，并展示你对格式的理解，而不仅仅是 GUI 中的点击操作。 ### `dynamic/` — 行为分析 - **`api-tracer`** — WinAPI 调用日志记录（C + Python）；如果能坚持到底，这是强有力的产出物。 - **`network-monitor`** — 拦截可疑进程的 DNS/HTTP；入门较简单，对 SOC 技能很有用（例如 DGA）。 - **`sandbox-report-parser`** — 将 Any.run / Triage 报告规范化为自定义格式。 ### `intel/` — 威胁情报 - **`yara-rules`** — 自定义规则及简要说明。 - **`ioc-extractor`** — 从二进制文件和报告中提取 IP, URL, 哈希。 - **`ttp-mapper`** — 将行为映射到 [MITRE ATT&CK](https://attack.mitre.org/)。这是面试的强力素材：技术、ID、检测思路。 ### `research/` — 个人研究 - 类似 **`2024-upx-unpacking`**, **`2024-keygen-re`**, **`2024-c2-traffic`** 的目录 — 完整 write-ups（脱壳 → OEP → dump，keygen 逆向，样本网络分析）。 - **`crackme-writeups/`** — 每个 crackme 位于独立子文件夹；模板：[`research/crackme-writeups/_TEMPLATE.md`](research/crackme-writeups/_TEMPLATE.md)。 - **`c-to-asm-lab/`** — C 语言小程序（`-O0`）+ Ghidra 笔记；参见 [`research/c-to-asm-lab/README.md`](research/c-to-asm-lab/README.md)。 Write-ups 不是代码的附属品，而是作品集中**同等重要**的部分：它展示了你的思维方式。 ### `pentest-bridge/` — 与渗透测试的连接 - **`shellcode-analyzer`** — 静态分析 shellcode，无需执行。 - **`vuln-pattern-finder`** — 搜索危险模式（`gets`, `strcpy` 等）。 ## 实现顺序（优先级） | 优先级 | 模块 / 方向 | 原因 | |-----------|-----------------|------| | 1 | `core/binary-profiler` | 其余静态分析的基础。 | | 2 | `core/string-hunter`, `core/entropy-scanner` | 与分析器配合，快速建立文件概览。 | | 3 | `intel/yara-rules`, `intel/ioc-extractor` | 与指标及规则集成。 | | 4 | `dynamic/network-monitor` 或 `sandbox-report-parser` | 行为与报告分析，无需最繁重的追踪工作。 | | 5 | `dynamic/api-tracer` | 难度较高；可在基础扎实后进行。 | | 6 | `intel/ttp-mapper` | 不要推迟太久 — 能显著提升作品集亮点。 | | 并行 | `research/crackme-writeups`, `research/c-to-asm-lab` | 持续为 RE 积累产出物。 | | 按需 | `pentest-bridge/*` | 在基础静态工具集完成后进行。 | ## Git：分支与渐进式推送 - **`main`** — 始终包含最新的**目录骨架**、根目录 README、模板及 `.gitignore`。 - **工作分支** — `feat/<领域>-<模块>`，例如： - `feat/core-binary-profiler` - `feat/intel-ttp-mapper` - `feat/research-2024-upx` - 分支中的更改应逻辑上限制在相应的子文件夹内；完成后 — 合并到 `main` 并执行 `git push origin main`。 - 若需**并行处理两个模块**，使用 [git worktree](https://git-scm.com/docs/git-worktree) 很方便（两个工作树，两个 `feat/...` 分支）。 ### 如何添加新的 crackme write-up 1. 创建文件夹 `research/crackme-writeups/<名称>/`。 2. 将 `_TEMPLATE.md` 复制为该文件夹下的 `README.md`（或 `writeup.md`）并填写。 ## 法律与道德声明 - **仅**分析你有权处理的样本（自己的、教学用的、来自官方平台且符合其规则的）。 - 使用**隔离**环境（VM, sandbox）；切勿在主工作系统中运行未知二进制文件。 - **不要**传播恶意软件、用于攻击第三方的漏洞利用程序或用于非法活动的指令。 - 本仓库的目的是学习、防御和合法的 security research。 ## 许可证 许可政策可在选择模型（例如 MIT, Apache-2.0）后添加到单独的 `LICENSE` 文件中。

标签：AMSI绕过, ATT&CK映射, Cybersecurity, DAST, DNS 反向解析, GitHub开源项目, Homebrew安装, Malware Analysis, PE文件分析, Reverse Engineering, Toolkit, 云安全监控, 云资产清单, 威胁检测, 安全工具开发, 恶意软件分析, 情报收集, 攻防知识, 文档结构分析, 框架构建, 漏洞研究, 编程开发, 网络安全, 网络安全审计, 网络安全研究, 逆向工具, 逆向工程, 速率限制处理, 隐私保护, 静态分析