guelfoweb/malware-analysis-static
GitHub: guelfoweb/malware-analysis-static
为静态恶意软件分析设计的 Codex 技能,通过结构化流程在无需执行的情况下完成逆向、IOC 提取与感染链重建。
Stars: 9 | Forks: 3
# 恶意软件分析-静态
恶意软件分析技能,用于跨 Windows、Linux、macOS、Android、Office 文档、HTML/web payload、脚本、源码 dropper 和多阶段链的静态恶意软件分析和逆向工程。
兼容:
- Codex CLI
- Claude Code
## 功能
- 静态恶意软件分类和逆向工程,不仅仅是 IOC grepping。
- 针对嵌入、解码、提取、dropped 或下载的 payload 的多阶段工作流。
- `AGENTS.md` 中的案例记忆和 `REPORT.md` 中的分析师报告。
- 有序的执行/入侵链,包含 MD5、SHA1、SHA256、父子阶段关系、URL、域名、IP、C2、drop URL 和阶段 URL。
- 授权的仅限实验室环境下的 drop/阶段 URL 检索,保留父级的解码、解密、headers、参数、文件名和下载后转换。
- 按需加载特定格式的 playbook 以减少 context 使用。
- 使用 APK 的权限、应用程序值和 intent 相关值进行 Android APK 家族模式丰富化。
- Token Budget 和 Anti-Loop 模式,保持聊天简洁,将详细的证据保存到文件中,避免重复失败的分支,并防止不支持的成功声明。
- 跨平台工具发现,支持 Linux、macOS 和 Windows,在安装缺失的工具之前需获得用户的明确批准。
## 支持的样本
- Android APK、split APK、DEX/JAR 衍生的 Android 代码以及原生 `.so` 库。
- Windows PE 二进制文件、DLL、驱动程序、类似 shellcode 的 blob 和 .NET assemblies。
- Linux ELF 二进制文件、macOS Mach-O 二进制文件、Unix shell payload 和 Unix 端的 loader。
- Office/OLE/OOXML/RTF 文档、VBA、VBS、VBE、JS、JSE、HTA、WSF、WSH、PowerShell、BAT 和 CMD。
- HTML、HTM、MHTML、SVG、XML、XSL、JavaScript、TypeScript、PHP、Python、Perl、Ruby、Lua、Node.js、JSP、ASP、ASPX、webshell 和源码 dropper。
## 技能布局
```
malware-analysis-static/
SKILL.md
references/
apk.md
pe-dotnet.md
office-script.md
web-payload.md
unix-binary.md
```
`SKILL.md` 是核心编排器。`references/` 文件仅当当前样本或阶段匹配该文件类型时才会被加载。
## 安装
### Codex CLI
安装:
```
git clone https://github.com/guelfoweb/malware-analysis-static.git \
~/.codex/skills/malware-analysis-static
```
更新现有安装:
```
git -C ~/.codex/skills/malware-analysis-static pull --ff-only
```
在安装或更新技能后重启 Codex。
### Claude Code
安装:
```
git clone https://github.com/guelfoweb/malware-analysis-static.git \
~/.claude/skills/malware-analysis-static
```
更新现有安装:
```
git -C ~/.claude/skills/malware-analysis-static pull --ff-only
```
在安装或更新技能后重启 Claude Code。
## 演示
Asciinema 演示:
- https://asciinema.org/a/Egd1lZpSHj7Pw6kA
## 推荐提示词
```
Use the $malware-analysis-static skill to analyze samples in this directory. Run in static mode, create and update AGENTS.md and REPORT.md, rebuild the multi-stage chain, extract C2/drop URL/stage URL/domains/IP, calculate hashes, and attempt to identify the family. You are authorized to download any stages from URLs found only because this is an isolated lab machine.
```
可选的更严格的 token 控制附加项:
```
Keep chat output minimal. Save all verbose outputs, strings, decompiler output, command logs, decoded blobs, and candidate lists under case/. Do not paste raw outputs in chat. Stop speculative branches after two failed attempts and pivot to evidence-backed analysis.
```
## 必需工具
该技能会动态发现可用工具,并应在安装任何缺失的工具之前进行询问。
核心工具:
- `file`、hash 工具(`md5sum`、`sha1sum`、`sha256sum` 或平台等效工具)
- `strings`、`rg`、`python3` 或 `py`、`7z`、`exiftool`、`yara`、`xxd`、`base64`
逆向工程工具:
- `objdump`、`llvm-objdump`、`readelf`、`nm`、`otool`、`lipo`
- `radare2`/`r2`、`rabin2`、`Ghidra` headless `analyzeHeadless`、`binwalk`
Android 工具:
- `jadx`、`apktool`、`aapt2`
- 可选:`bundletool`、`apkanalyzer`
Windows PE/.NET 工具:
- `floss`、`xorsearch`、`ilspycmd`、`monodis`
- Python 模块:`pefile`、`lief`
- 可选:`capa`、`upx`、`sigcheck`、`dumpbin`
Office/脚本/web 工具:
- `oletools`(`oleid`、`olevba`)、`oledump.py`、`rtfobj`
- `unzip`、`zipinfo`、`xmllint`、`iconv`
- 可选:`node`、`php`、`perl`、`pwsh`、`CyberChef CLI`、代码美化工具、AST 解析器
## 注意事项
- 工具安装不是静默的:agent 应在每次安装缺失的工具之前进行询问。
- 远程阶段检索仅在明确授权且处于隔离的实验室环境下进行。
- `AGENTS.md` 是工作记忆。`REPORT.md` 是可读的分析师报告。
- 该技能应将详细的证据保存在案例目录下,并保持聊天输出简洁。
- 该仓库提供了一个共享的 `SKILL.md` 以及特定格式的 `references/` playbook,以便同一技能可以在 Codex CLI 和 Claude Code 中使用。
## 警告
标签:DAST, DNS 反向解析, Go语言工具, 云安全监控, 云资产清单, 人工智能, 威胁情报, 安全工具, 开发者工具, 恶意软件分析, 用户模式Hook绕过, 网络信息收集, 逆向工程, 静态分析