estebanmr88/malSim
GitHub: estebanmr88/malSim
一款用 C++ 实现的 Windows 恶意行为模拟工具,通过受控复现持久化、反分析、文件修改与数据渗出等攻击链环节,帮助安全团队验证 EDR 检测能力并进行行为分析研究。
Stars: 0 | Forks: 0
# Windows 行为模拟
本仓库包含了一个 C++ 实现的受控模拟工具(`MalSim`),旨在对 Windows 环境中常见的失陷后行为进行建模。它可作为安全分析师、EDR 验证和行为检测工程的教育与测试资源。
### 功能
* **反分析与规避:** 实现了多层调试器检测以绕过主动监控环境,利用了 API、token 权限验证以及活动进程扫描。
* **持久化机制:** 通过在用户注册表配置单元中的 `CurrentVersion\Run` 下注册启动项,并生成在用户登录时触发的提权计划任务,来确保执行的连续性。
* **针对性文件修改:** 通过枚举用户的 `Documents` 目录、将现有文件重命名为随机标识符、覆盖 payload,或在空目录中生成隐藏的 sentinel 文件,来模拟通用的勒索软件遥测数据。
* **数据渗出:** 收集核心主机硬件规格,并通过 Winsock 建立 socket 连接,将主机信息安全地传输到指定的 loopback/内部 handler。
***免责声明:** 本软件仅 intended 用于受控测试网络内的授权安全模拟、行为分析和教育评估。*
标签:C++, EDR验证, 恶意软件仿真, 数据擦除, 端点可见性