Kiloabqq/logic-guard-elite
GitHub: Kiloabqq/logic-guard-elite
一款基于 SIFT 工作站的自主 API 取证与事件响应框架,能从静态内存分析无缝切换到主动逻辑审计,自动推理并验证数据泄露路径。
Stars: 0 | Forks: 0
# Logic Guard Elite:自主 API 取证与 IR 框架
[](https://opensource.org/licenses/MIT)
[](https://github.com/sans-dfir/sift)
## 🛡️ SANS "FIND EVIL!" 黑客马拉松 2026 参赛作品
**Logic Guard Elite** 是一款专为 **SANS SIFT Workstation** 设计的自主事件响应框架。与传统扫描器不同,它使用具备代理推理能力的引擎,从**静态取证**(内存转储)无缝切换到**实时审计**。它不仅能发现字符串;它能对数据泄露进行推理,针对 WAF 拦截进行自我纠正,并提取可验证的证据。
## 🏗️ 架构模式:直接代理扩展
Logic Guard Elite 遵循**直接代理扩展**模式,由一个中央推理编排器管理一套专业的取证和审计工具。
## 🏗️ 架构图
```
graph TD
A[Evidence Source: SIFT/MCP] --> B{Agentic Orchestrator}
B --> C[Passive Analysis Engine]
B --> D[Active Logic Audit]
B --> E[Crypto Fuzzing Engine]
C --> F{Self-Correction Loop}
D --> F
E --> F
F -- Failure detected --> B
F -- Success --> G[Accuracy Validator]
G --> H[Investigative Narrative Generator]
H --> I[Final Forensic Report]
```
## 🚀 评委验证实验室(逐步操作)
为了让评委能够验证**真实世界的代理推理**和**带身份验证的 IDOR** 功能,我们包含了一个本地漏洞实验室。
### 1. 环境设置
```
git clone https://github.com/Kiloabqq/logic-guard-elite
cd logic-guard-elite
pip install -r requirements.txt
pip install -e .
```
### 2. 启动漏洞靶标
在单独的终端中,启动本地 API。该 API 已配置了有意设置的 IDOR 漏洞,并需要特定的 API Key/Secret 对(模拟泄露的配置信息发现过程)。
```
python vulnerable_api.py
```
### 3. 运行自主代理
针对实验室靶标执行代理。观察它如何使用发现的密钥进行身份验证,并自主从受限的用户资料中提取出 `HACKATHON_FLAG`。
```
logic-guard --target http://127.0.0.1:5000 --token "9cebbce5-a47b-4396-9538-28eb1f9d0412" --secret "tmvtJoc+3YrVB7h+i6plk8PRelqYn37bNRdw" --verbose
```
## 📋 黑客马拉松文档:案例研究
Logic Guard Elite 已通过 SANS 提供的 **SRL-2018 Compromised Enterprise Network** 数据集进行了验证。
### 证据来源:`base-admin-memory.img` (5.3 GB)
| 发现类型 | 发现内容 | 推理转向 |
| :--- | :--- | :--- |
| **内存提取** | `http://appmap.trafficmanager.net/api/v1/parse` | 在 RAM 中发现的高优先级基础设施端点。 |
| **内存提取** | `https://cdpcs.microsoft.com/api/v1` | 识别到云管理 API 踪迹。 |
| **逻辑审计** | 触发访客绕过 | 代理检测到缺少 JWT;转向未经身份验证的绕过测试。 |
| **漏洞** | 已确认 IDOR | 在发现的基础设施上识别出真实的 IDOR 违规行为;提取了证据。 |
### 准确性报告
- **已确认的发现**:从 RAM 中映射了 7 个 API 端点。
- **代理推理**:成功从原始内存分析转向主动逻辑审计,无需人工干预。
- **可追溯性**:所有发现均映射到物理内存偏移量,并对照 SIFT 工作站基线进行了验证。
### 代理执行日志
完整的推理链存储在 `logs/agent_trace.json` 中。这些日志展示了代理用于确定哪些发现的 URL 是“高价值”审计目标的精确决策过程。
## 🛠️ 环境稳定性与故障排除
### SIFT 兼容性说明
在 Windows 和 Linux (SIFT) 之间移动代码时,主机操作系统偶尔会引入隐藏的 **BOM (Byte Order Mark)** 字符或 **Null Bytes**,从而导致 Python `SyntaxError`(例如,`source code string cannot contain null bytes`)。
**SIFT 的快速修复方法**:
如果您在工作站上遇到编码问题,请在项目根目录中运行以下清理命令:
```
find . -name "*.py" -exec sed -i 's/\x0//g' {} +
```
这可确保所有源文件对于 Linux 内核而言是 100% 干净的标准 UTF-8 格式。
## 📄 许可证
本项目基于 MIT 许可证授权 - 有关详细信息,请参阅 [LICENSE](LICENSE) 文件。
标签:API安全, CISA项目, DNS解析, IDOR漏洞, JARM, JSON输出, Python, SANS, SIFT工作站, WAF绕过, 内存分析, 安全报告, 安全竞赛, 密码模糊测试, 密码管理, 对称加密, 库, 应急响应, 开源项目, 数字取证, 数据泄露, 无后门, 架构设计, 漏洞分析, 网络安全, 网络应用防火墙, 自动化审计, 自动化脚本, 路径探测, 逆向工具, 隐私保护, 黑帽大会