corabellanonextant92/goodboy-framework

# 🧠 goodboy-framework - 快速学习 Windows 恶意软件分析 [](https://github.com/corabellanonextant92/goodboy-framework) ## 🚀 入门指南 goodboy-framework 是一款用于恶意软件分析、红队测试和蓝队检测实践的 Windows 学习工具。它使用 Rust 构建并分为 15 个阶段。每个阶段展示了工作流程的不同部分，从构建步骤到检测检查。 使用下面的链接访问此页面并下载项目： [下载 goodboy-framework](https://github.com/corabellanonextant92/goodboy-framework) ## 🖥️ 环境要求 在开始之前，请确保您具备： - 一台 Windows 10 或 Windows 11 电脑 - 稳定的互联网连接 - 至少 4 GB 内存 (RAM) - 2 GB 的可用磁盘空间 - 在您的 PC 上运行文件的权限 - ZIP 解压工具，例如文件资源管理器或 7-Zip 如果您计划检查代码或重新构建各阶段，请安装： - Rust 和 Cargo - Git - 文本编辑器，例如 VS Code ## 📥 下载项目 1. 打开上面的下载链接。 2. 将项目保存到您的电脑。 3. 如果您获得的是 ZIP 文件，请右键单击并选择“全部解压缩”。 4. 选择一个您能再次找到的文件夹，例如 `Downloads`（下载）或 `Desktop`（桌面）。 解压缩后，您应该能看到名为 `goodboy-framework` 的项目文件夹。 ## 🏁 在 Windows 上运行 1. 打开 `goodboy-framework` 文件夹。 2. 查找名为 `README`、`run`、`launcher` 的文件或 `.exe` 文件。 3. 双击主文件以启动它。 4. 如果 Windows 请求权限，请选择“是”。 5. 如果出现 SmartScreen，请选择“更多信息”，如果您信任来源并希望继续，请选择“仍要运行”。 如果项目包含批处理文件，请按如下方式使用： 1. 右键单击 `.bat` 文件。 2. 选择“打开”，或双击它。 3. 等待窗口完成加载。 ## 🧭 首次设置 当您第一次打开该工具时，请按照以下步骤操作： 1. 为实验文件选择一个工作文件夹。 2. 让工具创建任何所需的阶段文件夹。 3. 保留默认选项，除非您知道要更改什么。 4. 在继续之前阅读每个阶段的名称。 5. 一次使用一个阶段。 如果应用程序显示菜单，请从 Stage 1 开始，按顺序完成直到 Stage 15。 ## 🔍 15 个阶段涵盖的内容 该课程使用 15 个简短的阶段来展示 Windows 样本从构建到检测的变化过程。每个阶段都有一个明确的目标。 ### Stage 1 到 Stage 3 - 设置项目 - 构建第一个 Windows 二进制文件 - 检查基本文件行为 ### Stage 4 到 Stage 6 - 添加简单的 shellcode 流程 - 审查进程启动步骤 - 比较更改前后的文件输出 ### Stage 7 到 Stage 9 - 研究检测点 - 测试常见的 AV 和 EDR 检查 - 了解分析师如何发现危险模式 ### Stage 10 到 Stage 12 - 处理 Windows internals - 审查内存使用和进程树 - 练习逆向工程习惯 ### Stage 13 到 Stage 15 - 改进检测规则 - 使用 YARA 风格的匹配 - 验证最终样本并比较结果 ## 🧪 如何使用 将此项目作为学习实验室。 1. 运行一个阶段。 2. 观察屏幕或文件中的变化。 3. 记录样本的行为。 4. 将该阶段与前一个阶段进行比较。 5. 重复直到到达 Stage 15。 如果您是蓝队成员，请关注： - 文件名 - 进程创建 - 网络调用 - 可疑字符串 - 内存使用 - 检测规则 如果您是红队成员，请关注： - 构建更改 - 样本结构 - 行为变化 - 什么使样本更容易或更难被发现 ## 🧰 常见 Windows 问题修复 如果应用程序无法启动，请尝试以下步骤： 1. 将文件夹移出 OneDrive。 2. 以管理员身份运行该文件。 3. 在文件属性中取消阻止该文件。 4. 检查您的杀毒软件是否隔离了它。 5. 确保文件夹路径中没有奇怪的字符。 6. 重启并重试。 如果您看到文件丢失错误： 1. 确认您已解压缩完整的档案。 2. 检查下载过程中是否有文件被删除。 3. 将所有文件保留在同一个文件夹中。 ## 🧑‍💻 面向希望重新构建的用户 如果您想从源代码编译项目： 1. 从 Rust 官方网站安装 Rust。 2. 打开命令提示符。 3. 转到项目文件夹。 4. 运行所需阶段的构建命令。 5. 从 target 文件夹启动输出文件。 Windows 上典型的 Rust 构建流程如下所示： - `cargo build` - `cargo run` - `cargo build --release` 如果您想要在实验室中测试的最终二进制文件，请使用 release 构建。 ## 🛡️ 安全实验室设置 在处理此项目时，请使用测试机或虚拟机。 一个简单的实验室设置可以包括： - 一个 Windows VM - 一个用于分析的第二台 VM - 一个私有网络 - 快照支持 - 日志工具 用于分析的有用工具： - Process Explorer - Procmon - Wireshark - PE-bear - YARA - Windows Event Viewer ## 📚 最佳学习方式 为了从课程中获得最大收益： 1. 从行为入手，而不是代码。 2. 记下文件名、路径和进程名。 3. 保存每个阶段的屏幕截图。 4. 为每次运行写一条简短的笔记。 5. 将结果与上一次测试进行比较。 6. 每次更改后使用检测工具。 这使得更容易了解 Windows 样本是如何增长的，以及防御者如何捕获它。 ## 🔗 项目详情 - 仓库：goodboy-framework - 主题领域：antivirus evasion, blue team, CTF, cybersecurity, detection engineering, education, malware analysis, malware development, pentesting, red team, reverse engineering, Rust, shellcode, Windows, YARA - 格式：15 阶段 Windows Rust 课程 - 重点：构建、测试、研究和检测 Windows 样本 ## 💾 再次下载 如果您以后需要项目文件，请使用此链接： [访问 goodboy-framework 下载页面](https://github.com/corabellanonextant92/goodboy-framework) ## 🛠️ 文件布局 解压缩后，文件夹可能包括： - 源代码文件夹 - 阶段文件夹 - 构建文件 - README 文件 - 输出二进制文件 - 检测笔记 - 规则示例 ## 🧩 预期行为 当项目运行时，您可能会看到： - 用于阶段选择的菜单 - 控制台输出 - 在工作文件夹中创建文件 - 基本的 Windows 进程活动 - 清晰的逐阶段变化 ## 🧭 简单工作流程 1. 下载项目。 2. 解压文件。 3. 打开文件夹。 4. 运行主 Windows 文件。 5. 从 Stage 1 开始。 6. 按顺序完成各个阶段。 7. 检查每一步之后的变化。

标签：ATT&CK框架, AV测试, DAST, DNS 反向解析, DNS 解析, Rust编程, Shellcode, Windows恶意软件开发, 二进制分析, 云安全运维, 代码生成, 免杀技术, 可视化界面, 子域名变形, 安全测试, 恶意软件分析, 技术调研, 攻击性安全, 攻击模拟, 教育框架, 暴力破解检测, 渗透测试工具, 网络安全, 网络安全审计, 蓝队检测, 防御实践, 隐私保护, 驱动签名利用