Pavornoc/Static-Malware-Analysis-for-Claude-Code

# 开源静态恶意软件分析（Claude 技能） 一个用于快速、结构化静态恶意软件分析的 Claude Code 技能，无需执行可疑文件。 我确信已经有很多类似的技能，或者你可以自己构建，但我发现这个非常有用。     ## 目录 - [在 Claude Code 中安装技能](#installing-the-skill-to-claude-code) - [基础用法](#basic-usage) - [示例提示](#example-prompt) - [示例输出章节](#example-output-sections) - [功能特性](#features) - [免责声明](#disclaimer) - [贡献](#contributing) - [致谢](#thank-you) - [许可证](#license) ## 在 Claude Code 中安装技能 1. 克隆或复制此文件夹到本地机器。 2. 将技能放置到 Claude Code 命令目录中： - `~/.claude/commands/open-static-malware-analysis/` 3. 确保主技能文件位于： - `~/.claude/commands/open-static-malware-analysis/open-static-malware-analysis.md` 4. 如果你的设置使用了相关文件，请将支持文件保留在相同的技能目录结构中。 ## 基础用法 - 在 Claude Code 中提供或引用一个可疑文件，并请求进行静态分析。 - 示例提示： - `Analyze this sample with open-static-malware-analysis` - `Run static malware triage on /path/to/file` - `Is this binary malicious? Perform static analysis only` - 该技能引导分析流程： - 通过魔数（magic bytes）进行文件类型验证 - 哈希值与元数据收集 - 按文件格式进行结构分析 - 字符串与 IOC 提取 - 熵值与混淆检测 - MITRE ATT&CK 映射与风险评分 - 生成包含 YARA 和 Sigma 机会的结构化报告 ## 示例提示 使用如下提示： ``` Analyze /path/to/suspicious_file with open-static-malware-analysis. Do static analysis only (no execution), map findings to MITRE ATT&CK, extract IOCs, and provide a risk/confidence verdict. ``` ## 示例输出章节 生成的报告结构化为便于分级处理和交接的格式，通常包括： - 执行摘要 - 判决（风险等级、置信度、分类） - 文件身份（哈希值、文件类型、签名元数据） - MITRE ATT&CK 映射 - 结构分析 - 指标（网络 + 主机） - 混淆与熵分析 - 改进建议 - 检测机会（YARA 与 Sigma） ## 功能特性 - 纯静态工作流（不执行样本） - 强文件类型优先分级（基于签名而非扩展名） - 跨格式支持（PE/ELF/Mach-O、办公文档/PDF、脚本、归档、LNK/HTA/MSI、shellcode、PCAP） - IOC 提取（网络与主机 artifacts） - 基于熵值的打包/加密检测 - 能力推断并映射到 MITRE ATT&CK - 通过哈希/活动追踪进行威胁情报增强 - 结构化报告格式（包含风险与置信度评分） - 检测工程输出（YARA 与 Sigma 规则指导） ## 免责声明 本技能仅用于防御性安全分析、事件响应、恶意软件分级和安全教育。 请仅在你被授权调查的文件和系统上使用，并遵守组织的法律 和政策要求。 ## 许可证 本项目根据 GNU General Public License v3.0 授权。 请参阅 `LICENSE` 文件获取完整文本。

标签：Claude Code, Cloudflare, DAST, IOC提取, MITRE ATT&CK, SEO: Claude Skill, SEO: 开源静态分析, SEO: 静态恶意软件分析, YARA, 云安全监控, 云资产可视化, 元数据收集, 哈希校验, 威胁情报, 字符串提取, 开发者工具, 恶意软件分析, 文件格式分析, 文件类型识别, 日志格式, 熵分析, 结构化报告, 逆向工具, 静态分析, 静态脱壳, 风险评分