adbore/Malware-AI-Analysis-Lab
GitHub: adbore/Malware-AI-Analysis-Lab
构建AI辅助的恶意软件分析环境。
Stars: 0 | Forks: 0
# 驱动型恶意软件分析
## 目标
在 REMnux 工作空间上构建一个 AI 辅助的恶意软件分析环境,并将 Claude Code AI 工具连接到 REMnux 模型上下文协议 (MCP) 服务器。从摄入的恶意软件样本中提取的特征被输入到 AI/ML 模型中,以自动化静态和动态分析。主要目标是重现环境,以探索经典恶意软件逆向工程技术与现代 AI 驱动检测的交集。这允许 AI 辅助无缝触发分析工具,如 CAPA、FLOSS 和 Ghidra。
### 学到的技能
- REMnux 安装和配置:在 Virtual box 上部署 REMnux,配置网络和挂载共享文件夹。
- 样本获取和安全处理:沙箱文件投放区,验证哈希值并强制隔离。
- 静态特征提取:提取 PE/ELF 元数据、字符串、导入/导出和熵工具如 peframe、strings 和 exiftool。
- 动态行为捕获:在沙箱中运行样本并收集系统调用、网络流量和进程树。
- 在网络安全中培养批判性思维和解决问题的技能。
### 使用工具
- REMnux 是用于静态和动态分析的逆向工程工具。
- Claude code 是一个用于自动化静态和动态分析的代理 AI 编码工具。
- 模型上下文协议服务器 (MCP-Server) 通过 AI 辅助使用 REMnux 恶意软件分析工具。
- Ubuntu 24.04 服务器用于安装 REMnux 环境。
## 步骤
### 从零开始安装 REMnux
- 使用下载的 ISO 安装 Ubuntu 24.04 服务器。
- 从 ISO 启动并选择“尝试或安装 Ubuntu Server”。
- 选择您自己的对应语言和键盘布局。
- 确保在提示安装类型时选择“Ubuntu Server(最小化)”。
- 配置网络并保留 DHCP,它运行得很好。
- 在配置存储时使用简单的分区,并取消选中“将此磁盘设置为 LVM 组”。
- 使用默认的 REMnux 配置。密码应该是 "malware"
- 不需要 OpenSSH 服务器,除非通过远程访问。
- 安装完成后重新启动。
### 获取 REMnux 安装程序
- 从 REMnux 网站下载 REMnux 安装程序,运行以下命令
- 运行以下命令设置 REMnux 安装程序。
- [x] chmod +x remnux
- [x] sudo mv remnux /usr/local/bin
### 运行 REMnux 安装程序
- REMnux 发行版已经安装。
- 使用此命令在安装期间本地运行 REMnux。
- [x] sudo remnux install
- 使用此命令在云中远程运行 REMnux。SSH 守护进程应启用以在远程云环境中部署 REMnux。
- [x] sudo remnux install --mode=cloud
### 重新启动 REMnux 系统
- 当 REMnux 安装完成后,确保使用此命令重新启动新的 REMnux 系统。
- [x] sudo reboot
- REMnux 安装完全成功。
- REMnux 环境已准备就绪。
### 步骤
## 在 REMnux 上安装 Claude AI(人工智能)
- Claude Code 在 Linux/macOS 上的安装
- [x] sudo curl -fsSL https://claude.ai/install.sh | bash
- 建议通过 Anthropic 使用原生安装程序进行安装。
- 原生安装程序存在,但我们的本地 bin 必须添加到我们的路径(环境路径)。
- 使用暗黑模式。
- 使用“否,退出”,因为将创建一个特定的目录,而不是主目录。
- 导航到主目录 shell。
- 在 Visual Studio Code 中打开您的家文件夹并添加 Claude 环境变量。
- 创建一个名为 OpenRouter 的账户,它是一个统一的 API 网关,通过单个端点为用户提供对 OpenAI、Anthropic DeepSeek 和 Gemini 等数百个 AI 模型的访问。
- 导航到个人资料下的“工作区”。
- 点击“API”,然后点击“创建”。点击“新建”
- 将生成的 APIKey 添加到 Claude Code 环境变量中。
- 通过点击“模型”选择智能模型。
- 搜索免费模型并选择 openAI:gpt-oss-120b(free)
- 在 Claude 环境变量中包含 export ANTHROPIC_MODEL="openai/gpt-oss-120b:free"。
- 重新启动您的终端并重新加载您的 shell 配置。
- 使用 source 命令 "source ~/.bashrc"。
- 创建一个名为 analysis 的文件夹并导航到该文件夹。
- 运行 Claude 并信任该文件夹。
- 开始运行 Claude。
- 安装 REMnux MCP 服务器。
- fssfs
- 选择您自己的对应语言和键盘布局。
- 确保在提示安装类型时选择“Ubuntu Server(最小化)”。
- 配置网络并保留 DHCP,它运行得很好。
- 在配置存储时使用简单的分区,并取消选中“将此磁盘设置为 LVM 组”。
- 使用默认的 REMnux 配置。密码应该是 "malware"
- 不需要 OpenSSH 服务器,除非通过远程访问。
- 安装完成后重新启动。
### 获取 REMnux 安装程序
- 从 REMnux 网站下载 REMnux 安装程序,运行以下命令
- 运行以下命令设置 REMnux 安装程序。
- [x] chmod +x remnux
- [x] sudo mv remnux /usr/local/bin
### 运行 REMnux 安装程序
- REMnux 发行版已经安装。
- 使用此命令在安装期间本地运行 REMnux。
- [x] sudo remnux install
- 使用此命令在云中远程运行 REMnux。SSH 守护进程应启用以在远程云环境中部署 REMnux。
- [x] sudo remnux install --mode=cloud
### 重新启动 REMnux 系统
- 当 REMnux 安装完成后,确保使用此命令重新启动新的 REMnux 系统。
- [x] sudo reboot
- REMnux 安装完全成功。
- REMnux 环境已准备就绪。
### 步骤
## 在 REMnux 上安装 Claude AI(人工智能)
- Claude Code 在 Linux/macOS 上的安装
- [x] sudo curl -fsSL https://claude.ai/install.sh | bash
- 建议通过 Anthropic 使用原生安装程序进行安装。
- 原生安装程序存在,但我们的本地 bin 必须添加到我们的路径(环境路径)。
- 使用暗黑模式。
- 使用“否,退出”,因为将创建一个特定的目录,而不是主目录。
- 导航到主目录 shell。
- 在 Visual Studio Code 中打开您的家文件夹并添加 Claude 环境变量。
- 创建一个名为 OpenRouter 的账户,它是一个统一的 API 网关,通过单个端点为用户提供对 OpenAI、Anthropic DeepSeek 和 Gemini 等数百个 AI 模型的访问。
- 导航到个人资料下的“工作区”。
- 点击“API”,然后点击“创建”。点击“新建”
- 将生成的 APIKey 添加到 Claude Code 环境变量中。
- 通过点击“模型”选择智能模型。
- 搜索免费模型并选择 openAI:gpt-oss-120b(free)
- 在 Claude 环境变量中包含 export ANTHROPIC_MODEL="openai/gpt-oss-120b:free"。
- 重新启动您的终端并重新加载您的 shell 配置。
- 使用 source 命令 "source ~/.bashrc"。
- 创建一个名为 analysis 的文件夹并导航到该文件夹。
- 运行 Claude 并信任该文件夹。
- 开始运行 Claude。
- 安装 REMnux MCP 服务器。
- fssfs标签:AI辅助工具, Apex, Claude Code, DAST, Hpfeeds, MCP服务器, PE/ELF, REMnux, 云安全监控, 云资产清单, 人工智能, 安全技能, 恶意软件分析, 机器学习, 沙箱测试, 用户模式Hook绕过, 系统调用, 网络流量, 进程树, 逆向工程, 问题解决, 静态分析