forensicdave/reds-client

# reds_client.py -> reds_client.py ### 用例：威胁行为者追踪 威胁行为者追踪是一场持久战：维护归因集群、将数月内的活动联系起来，并在其再次出现时识别已知的对手的工具。在这里，VT 智能分析是一个真正的竞争对手（回溯搜索、实时搜索、内容搜索、VT 图），在**基础设施**归因方面更强（被动DNS、whois、提交者元数据）和原始召回。REDS 的优势在于**代码DNA**——证据归因实际上基于： - **功能级与稀有度的相关性**——在否则无关的样本中共享的*稀有/独特*功能是强烈的作者信号；库/模板代码会自动过滤掉。 - **标准化代码 ssdeep/TLSH**——链接可以跨越重新编译、编译器标志更改和轻微变异而生存，因此您可以追踪行为者的不断发展的代码库，而不是一个冻结的工件。 - **全文/正则表达式代码搜索**——搜索行为者的签名例程：自定义加密、互斥/管道名称、PDB 路径、构建工件、独特的错误字符串。 - **工具链指纹**——richhash/richpe（Rich Header）、authentihash、导入/导出/部分哈希，以及可搜索的代码签名证书字段（指纹、发行者、序列号）可以捕获重复使用的开发环境和滥用证书。 - **CAPA/ATT&CK + Malcontent**——确认集群中TTP的一致性；**`first_seen`/`last_seen`**构建活动时间线。 今天合理的劳动分工：VirusTotal 智能分析用于广度、基础设施转向，并且在REDS发布实时搜索/回溯搜索之前——对新行为者样本进行主动搜索；REDS作为代码DNA层，证明共同作者身份，跟踪工具集跨版本，并为归因评估提供结构化证据。一旦REDS路线图中的实时搜索、回溯搜索和保存查询警报发布，重新评估。

标签：asyncio, ATT&CK 框架, Malcontent, REDS API, Whois, 代码DNA, 代码指纹, 代码搜索, 代码相关性, 代码签名, 元数据, 命令行客户端, 基础设施分析, 威胁情报, 威胁行为追踪, 安全事件响应, 安全响应, 安全威胁分析, 安全威胁响应, 安全威胁情报, 安全威胁情报分析, 安全威胁情报响应, 安全威胁情报收集, 安全威胁情报评估, 安全威胁情报识别, 安全威胁情报追踪, 安全威胁情报防御, 安全威胁评估, 安全威胁识别, 安全威胁追踪, 安全威胁防御, 安全态势感知, 工具链指纹, 开发者工具, 恶意代码分析, 情报收集, 漏洞研究, 病毒总汇, 被动DNS, 逆向工具, 配置文件