credkellar-boop/Monware

# Monware：恶意软件分析与威胁情报实验室 ## 概述 Monware 是一个教育性仓库，专门用于安全、防御性地研究恶意软件。本项目的目标是练习逆向工程、理解攻击者方法论，并开发自定义检测规则（如 YARA），而不涉及进攻性操作。 ## ⚠️ 安全警告 **切勿**将活跃的恶意软件样本、未加密的可执行文件或恶意负载上传到此仓库。所有活跃分析必须在隔离的、仅主机模式的虚拟机环境（例如 REMnux、Flare VM）中进行。 ## 目录指南 * **`docs/`**：关于隔离实验室环境与分析工作流程的文档。 * **`scripts/`**：用于自动化静态分析（哈希计算、字符串提取）和解析动态执行日志的自定义 Python 和 Shell 脚本。 * **`network_traffic/`**：来自模拟恶意软件执行的数据包捕获（PCAP），用于流量分析。 * **`rules/`**：从逆向工程得到的入侵指标（IOC）生成的防御性签名和 YARA 规则。 ## 使用的工具 * **静态分析：** Ghidra、PEstudio、FLOSS * **动态分析：** Wireshark、Process Hacker、INetSim * **环境：** Flare VM（Windows）、REMnux（Linux） ## 目标 构建对威胁机制的全面理解，以提升防御安全态势、网络监控和应急响应编排能力。 Monware/ ├── .gitignore # 阻止活跃的恶意软件/可执行文件上传 ├── README.md # 仓库的主要视觉地图 ├── setup_folders.py # 初始自动化脚本 │ ├── docs/ │ ├── analysis_methodology.md # 你的分步标准操作程序 │ └── lab_setup_guide.md # 你的虚拟机/虚拟机监控程序网络文档 │ ├── network_traffic/ │ └── pcaps/ │ └── .gitkeep # 保持文件夹在 GitHub 中存活 │ ├── rules/ │ └── yara/ │ ├── suspicious_strings.yar # 基本的 YARA 规则 │ └── advanced_ransomware.yar #（可选）高级十六进制 YARA 规则 │ ├── samples/ │ ├── .gitkeep # 保持文件夹在 GitHub 中存活 │ └── README.md # 关键的安全警告文件 │ └── scripts/ ├── ai_threat_hunter.py # 从 MalwareBazaar 拉取数据的 AI 代理 ├── triage.py # 运行所有静态工具的主脚本 │ ├── dynamic_analysis/ │ ├── log_parser.py # 解析 JSON 沙箱日志以提取 IOC │ └── test_report.json # 用于测试日志解析器的虚拟数据 │ └── static_analysis/ ├── extract_strings.py # 从二进制文件中提取 ASCII/Unicode 文本 └── hash_generator.py # 生成 MD5、SHA1 和 SHA256 哈希

标签：Cutter, DAST, DNS信息、DNS暴力破解, Flare VM, FLOSS, Ghidra, InetSim, IOC提取, PEstudio, Process Hacker, Python, REMnux, Shell, Wireshark, YARA规则, 云安全监控, 云资产清单, 句柄查看, 合规性检查, 威胁情报, 实验室环境, 开发者工具, 恶意软件分析, 恶意软件防御, 无后门, 网络安全, 网络流量分析, 脚本自动化, 逆向工具, 逆向工程, 防御研究, 隐私保护, 隔离环境, 静态分析