Lucaslagoonss2/mysnull-threat-analysis

# MysNull 威胁分析 一个面向初级蓝队 SOC 的实战项目组合，专注于恶意流量调查与 IOC 提取。 本仓库旨在展示可复用的分析师工作流、证据工件以及风格简洁、带有轻微赛博朋克终端感的 Python 工具集。 ## 招聘者速览 - 范围：一个真实的调查案例（而非企业级平台） - 重点：DNS/HTTP/TCP 分诊与 IOC 提取 - 产出：用于报告与交接的可复现 `.txt` / `.json` 工件 ## 项目功能 - 从基于文本的证据中提取 IPv4 地址、域名和 URL - 对 IOC 结果进行规范化与结构化处理，便于分析师使用 - 将发现导出为 `txt` 和 `json` 格式 - 提供基于 Rich 库的 SOC 风格命令行输出 ## 快速开始 ### 环境要求 - Python 3.10+ - `pip` ### 安装 ``` python -m venv .venv .\.venv\Scripts\Activate.ps1 pip install rich ``` ### 运行演示 ``` python main.py ``` ## 命令示例 ``` # 基本提取（fast mode） python extractors/ioc_extractor.py -i samples/test.txt --no-animation # 将两种格式导出到文件夹 python extractors/ioc_extractor.py -i samples/test.txt -f txt json -o outputs --basename xloader_iocs --no-animation # Verbose run 用于故障排除 python extractors/ioc_extractor.py -i samples/test.txt --verbose --no-animation ``` ## 调查工作流 1. 审查可疑证据（流量记录 / 从数据包提取的文本） 2. 对 DNS、HTTP 和 TCP 信号进行行为分诊 3. 提取候选 IOC（IP、域名、URL） 4. 规范化并整理结果 5. 导出结构化工件用于报告 6. 在调查笔记中记录发现 ## 截图 ### 可疑 DNS 解析  ### 外部 TCP 通信  ### HTTP 流分析  ## 仓库结构 ``` mysnull-threat-analysis/ ├── core/ │ └── README.md ├── exporters/ │ └── README.md ├── extractors/ │ ├── README.md │ ├── ioc_extractor.py │ └── rich_render.py ├── iocs/ │ ├── README.md │ └── xloader-iocs.md ├── pcap/ │ └── README.md ├── reports/ │ ├── README.md │ └── xloader-analysis-report.md ├── samples/ │ ├── README.md │ └── test.txt ├── screenshots/ │ ├── README.md │ ├── follow_http_stream_analysis.png │ ├── suspicious_dns.png │ └── tcp_communication_with_suspicious_ip.png ├── tests/ │ └── README.md ├── ui/ │ └── README.md ├── .gitignore ├── LICENSE ├── main.py └── README.md ``` ## 展示的技能 - IOC 提取与规范化基础 - SOC 风格的恶意流量分诊（DNS/HTTP/TCP） - 调查文档编写与证据处理 - 用于构建可复现分析师工作流的 Python 脚本 ## 未来路线图 - 为 IOC 解析边界情况添加单元测试 - 扩展 IOC 支持类型（哈希值、邮箱、文件路径） - 添加用于数据包提取文本输入的预处理辅助工具 - 添加报告模板以加快案例撰写

标签：AMSI绕过, DAST, DNS分析, HTTP分析, IOC提取, Python, TCP分析, Wireshark, 代码示例, 句柄查看, 威胁情报, 威胁检测, 安全调查, 安全运营, 开发者工具, 恶意软件分析, 恶意软件流量, 扫描框架, 指标提取, 数据分析, 数据导出, 无后门, 结构化输出, 网络安全, 自动化提取, 逆向工具, 隐私保护