guelfoweb/malware-analysis-static

GitHub: guelfoweb/malware-analysis-static

为静态恶意软件分析设计的 Codex 技能,通过结构化流程在无需执行的情况下完成逆向、IOC 提取与感染链重建。

Stars: 9 | Forks: 3

# 恶意软件分析-静态 恶意软件分析技能,用于跨 Windows、Linux、macOS、Android、Office 文档、HTML/web payload、脚本、源码 dropper 和多阶段链的静态恶意软件分析和逆向工程。 兼容: - Codex CLI - Claude Code ## 功能 - 静态恶意软件分类和逆向工程,不仅仅是 IOC grepping。 - 针对嵌入、解码、提取、dropped 或下载的 payload 的多阶段工作流。 - `AGENTS.md` 中的案例记忆和 `REPORT.md` 中的分析师报告。 - 有序的执行/入侵链,包含 MD5、SHA1、SHA256、父子阶段关系、URL、域名、IP、C2、drop URL 和阶段 URL。 - 授权的仅限实验室环境下的 drop/阶段 URL 检索,保留父级的解码、解密、headers、参数、文件名和下载后转换。 - 按需加载特定格式的 playbook 以减少 context 使用。 - 使用 APK 的权限、应用程序值和 intent 相关值进行 Android APK 家族模式丰富化。 - Token Budget 和 Anti-Loop 模式,保持聊天简洁,将详细的证据保存到文件中,避免重复失败的分支,并防止不支持的成功声明。 - 跨平台工具发现,支持 Linux、macOS 和 Windows,在安装缺失的工具之前需获得用户的明确批准。 ## 支持的样本 - Android APK、split APK、DEX/JAR 衍生的 Android 代码以及原生 `.so` 库。 - Windows PE 二进制文件、DLL、驱动程序、类似 shellcode 的 blob 和 .NET assemblies。 - Linux ELF 二进制文件、macOS Mach-O 二进制文件、Unix shell payload 和 Unix 端的 loader。 - Office/OLE/OOXML/RTF 文档、VBA、VBS、VBE、JS、JSE、HTA、WSF、WSH、PowerShell、BAT 和 CMD。 - HTML、HTM、MHTML、SVG、XML、XSL、JavaScript、TypeScript、PHP、Python、Perl、Ruby、Lua、Node.js、JSP、ASP、ASPX、webshell 和源码 dropper。 ## 技能布局 ``` malware-analysis-static/ SKILL.md references/ apk.md pe-dotnet.md office-script.md web-payload.md unix-binary.md ``` `SKILL.md` 是核心编排器。`references/` 文件仅当当前样本或阶段匹配该文件类型时才会被加载。 ## 安装 ### Codex CLI 安装: ``` git clone https://github.com/guelfoweb/malware-analysis-static.git \ ~/.codex/skills/malware-analysis-static ``` 更新现有安装: ``` git -C ~/.codex/skills/malware-analysis-static pull --ff-only ``` 在安装或更新技能后重启 Codex。 ### Claude Code 安装: ``` git clone https://github.com/guelfoweb/malware-analysis-static.git \ ~/.claude/skills/malware-analysis-static ``` 更新现有安装: ``` git -C ~/.claude/skills/malware-analysis-static pull --ff-only ``` 在安装或更新技能后重启 Claude Code。 ## 演示 Asciinema 演示: - https://asciinema.org/a/Egd1lZpSHj7Pw6kA ## 推荐提示词 ``` Use the $malware-analysis-static skill to analyze samples in this directory. Run in static mode, create and update AGENTS.md and REPORT.md, rebuild the multi-stage chain, extract C2/drop URL/stage URL/domains/IP, calculate hashes, and attempt to identify the family. You are authorized to download any stages from URLs found only because this is an isolated lab machine. ``` 可选的更严格的 token 控制附加项: ``` Keep chat output minimal. Save all verbose outputs, strings, decompiler output, command logs, decoded blobs, and candidate lists under case/. Do not paste raw outputs in chat. Stop speculative branches after two failed attempts and pivot to evidence-backed analysis. ``` ## 必需工具 该技能会动态发现可用工具,并应在安装任何缺失的工具之前进行询问。 核心工具: - `file`、hash 工具(`md5sum`、`sha1sum`、`sha256sum` 或平台等效工具) - `strings`、`rg`、`python3` 或 `py`、`7z`、`exiftool`、`yara`、`xxd`、`base64` 逆向工程工具: - `objdump`、`llvm-objdump`、`readelf`、`nm`、`otool`、`lipo` - `radare2`/`r2`、`rabin2`、`Ghidra` headless `analyzeHeadless`、`binwalk` Android 工具: - `jadx`、`apktool`、`aapt2` - 可选:`bundletool`、`apkanalyzer` Windows PE/.NET 工具: - `floss`、`xorsearch`、`ilspycmd`、`monodis` - Python 模块:`pefile`、`lief` - 可选:`capa`、`upx`、`sigcheck`、`dumpbin` Office/脚本/web 工具: - `oletools`(`oleid`、`olevba`)、`oledump.py`、`rtfobj` - `unzip`、`zipinfo`、`xmllint`、`iconv` - 可选:`node`、`php`、`perl`、`pwsh`、`CyberChef CLI`、代码美化工具、AST 解析器 ## 注意事项 - 工具安装不是静默的:agent 应在每次安装缺失的工具之前进行询问。 - 远程阶段检索仅在明确授权且处于隔离的实验室环境下进行。 - `AGENTS.md` 是工作记忆。`REPORT.md` 是可读的分析师报告。 - 该技能应将详细的证据保存在案例目录下,并保持聊天输出简洁。 - 该仓库提供了一个共享的 `SKILL.md` 以及特定格式的 `references/` playbook,以便同一技能可以在 Codex CLI 和 Claude Code 中使用。 ## 警告
标签:DAST, DNS 反向解析, Go语言工具, 云安全监控, 云资产清单, 人工智能, 威胁情报, 安全工具, 开发者工具, 恶意软件分析, 用户模式Hook绕过, 网络信息收集, 逆向工程, 静态分析