thatskriptkid/speakeasy-extensions

# speakeasy 扩展 适用于 [Mandiant Speakeasy](https://github.com/mandiant/speakeasy) 的附加 API 钩子、Docker 打包、行为提取和语料强化工具。 此仓库设计为在标准 Speakeasy 安装之上应用。 ## 包含内容 - `patches/patch_speakeasy.py` - 针对 `speakeasy-emulator==1.5.11` 的幂等补丁程序。 - `config/*.json` - 三个类 Windows 配置文件：`fast`、`deep` 和 `children`。 - `tools/run_speakeasy_docker.py` - 一个 Docker 运行器，支持离线网络、JSON 报告、释放文件归档、可选内存转储和模块目录支持。 - `tools/speakeasy_behavior.py` - 一个标准化行为提取器，涵盖网络、文件、注册表、服务、进程/注入、加密、反分析和释放产物等类别。 - `tools/speakeasy_summary.py` 和 `tools/speakeasy_corpus_stats.py` - 用于较大规模实验的紧凑摘要和批处理统计。 ## 快速开始 构建修补后的 Speakeasy 镜像： ``` docker build --platform linux/amd64 -t speakeasy-extensions:1.5.11 . ``` 在没有互联网连接的情况下运行一个样本： ``` python3 tools/run_speakeasy_docker.py \ --profile fast \ --report-dir out/sample-001 \ /path/to/sample.exe ``` 运行器会生成： - `speakeasy_report_*.json` - Speakeasy JSON 报告。 - `speakeasy_report_*_summary.txt` - 紧凑文本摘要。 - `speakeasy_behavior_*.json` - 标准化行为模型。 - `speakeasy_network_*.json` - 离线网络意图视图。 - `speakeasy_dropped_*.zip` - 释放文件归档（如果存在）。 - `speakeasy_memory_*.zip` - 针对 `deep` 配置文件或显式内存转储模式的内存转储归档。 ## 配置文件 ``` SPEAKEASY_PROFILE=fast # default: fast enough for corpus triage SPEAKEASY_PROFILE=deep # adds memory tracing and memory dump SPEAKEASY_PROFILE=children # enables child process emulation ``` 默认的 Docker 网络模式为 `none`。网络 API 处理程序会返回受控的虚假成功响应，以便您可以在不连接真实 C2 服务器的情况下观察意图。 ## 可选的 Windows 模块目录 当 Speakeasy 能够看到真实的 Windows PE 模块时，其表现会更好。 ``` export SPEAKEASY_MODULE_DIR_X64=/path/to/windows/x64/modules export SPEAKEASY_MODULE_DIR_X86=/path/to/windows/x86/modules python3 tools/run_speakeasy_docker.py /path/to/sample.exe -o out/sample-001 ``` 运行器还接受 `--module-dir /path/to/modules` 参数，并将其作为 `-l /modules` 传递给 Speakeasy。 ## 行为提取 您可以对现有报告运行行为提取器： ``` python3 tools/speakeasy_behavior.py out/report.json \ -o out/behavior.json \ --summary out/behavior.txt ``` 该输出旨在比原始的 Speakeasy 跟踪更易于人类和 LLM 管道使用。它保留了原始信号，但将其分组到恶意软件分析类别中。 ## 无需 Docker 应用 如果您已经在虚拟环境中安装了 `speakeasy-emulator==1.5.11`： ``` python -m pip install speakeasy-emulator==1.5.11 python patches/patch_speakeasy.py speakeasy -t /path/to/sample.exe -o report.json -c config/fast.json ``` ## 许可证 本项目采用 MIT 许可证发布。Speakeasy 本身由 Mandiant/Google Cloud 维护，并在其上游仓库中单独授权。

标签：AMSI绕过, API钩子, DAST, Docker, Python, Ruby on Rails, Speakeasy, 云资产清单, 内存转储, 加密分析, 反分析技术, 威胁检测, 子进程模拟, 安全防御评估, 恶意软件分析, 恶意软件模拟工具, 无后门, 沙箱技术, 注册表监控, 网络仿真, 网络安全, 自动化分析, 行为提取, 行为监控, 语料库加固, 请求拦截, 跨站脚本, 进程注入分析, 逆向工具, 逆向工程, 隐私保护