Pyhroff/darkdecoder

GitHub: Pyhroff/darkdecoder

DarkDecoder 是一个基于 LLM 的双框架网络威胁情报平台，能对可疑代码进行 ATT&CK 与 ATLAS 映射分析并生成红队杀伤链报告。

Stars: 0 | Forks: 0

# 💀 DarkDecoder **双框架网络威胁情报平台** ![Python](https://img.shields.io/badge/Python-3.10+-3776AB?style=flat&logo=python&logoColor=white) ![Streamlit](https://img.shields.io/badge/Streamlit-1.40-FF4B4B?style=flat&logo=streamlit&logoColor=white) ![Groq](https://img.shields.io/badge/Groq-Llama%203.3%2070B-F55036?style=flat) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red?style=flat) ![MITRE ATLAS](https://img.shields.io/badge/MITRE-ATLAS-blue?style=flat) ![License](https://img.shields.io/badge/License-MIT-green?style=flat) ![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/b8608abecf163013.svg) ## 什么是 DarkDecoder？ DarkDecoder 是**唯一一款免费工具**，在单一平台中结合了两大官方网络威胁框架——用于传统恶意软件的 **MITRE ATT&CK** 和用于 AI/ML 对抗性威胁的 **MITRE ATLAS**。安全分析师往往要浪费数小时将恶意代码与威胁数据库进行人工交叉比对。而 DarkDecoder 只需 20 秒即可完成：粘贴代码，即可获得完整的分析报告——威胁评分、技术映射、IOC、杀伤链、修复建议以及可导出的报告。 ## 三大分析模块 ### 模块 1 — 恶意软件扫描器 (MITRE ATT&CK) - 对 base64、十六进制、eval 链、字符串拼接进行反混淆 - 分类恶意软件类型：Ransomware、Keylogger、Reverse Shell、Cryptominer、Webshell 等 - 1–10 的威胁评分及完整理由 - 映射到 MITRE ATT&CK T 编号 (T1059, T1547, T1486 等) - 提取 IOC：IP、域名、URL、文件路径、注册表项、互斥锁 - 为非技术利益相关者提供通俗易懂的摘要 - 提供可操作的修复步骤 ### 模块 2 — AI 威胁分析器 (MITRE ATLAS) - 检测针对基于 LLM 系统的 prompt injection 攻击 - 识别越狱和安全防护绕过技术 - 标记训练数据投毒和后门注入样本 - 捕捉模型提取和成员推理查询 - 直接映射到 MITRE ATLAS AML.TXXXX 编号——官方的 AI 对抗性威胁框架 ### 模块 3 — 红队情报 (ATT&CK Kill Chain) - 完整的 10 阶段 ATT&CK 杀伤链可视化 - 武器化评分 + 隐蔽性评级 (1–10) - 提权级别：无 → 本地 → 管理员 → 域管理员 → SYSTEM/Root - 检测难度评级 + CVSS 向量字符串生成 - 知名 APT 组织 / 威胁行为者相似度匹配 - 从对手视角展开的完整攻击叙事 ## 功能特性 | 特性 | 详情 | |---|---| | 文件上传 | .py .js .php .ps1 .sh .bat .rb .go .cs .vbs (最大 200 MB) | | 报告导出 | PDF · JSON · TXT — 一键导出，支持所有模块 | | 攻击时间线 | 带有 MITRE 技术 ID 的逐步进展 | | 会话历史 | 所有扫描均带时间戳记录在侧边栏 | | 哈希分析 | 每次提交均计算 SHA256 + MD5 | | 内置示例 | 预加载的演示 payload，可即时测试 | | 零成本 | 完全依托 Groq 免费层运行 — 无需信用卡 | ## 技术栈 | 组件 | 技术 | |---|---| | AI 引擎 | Groq API — Llama 3.3 70B Versatile | | 威胁框架 1 | MITRE ATT&CK v14 | | 威胁框架 2 | MITRE ATLAS (AI/ML 对抗性威胁) | | 后端 | Python 3.10+ | | 前端 | Streamlit | | PDF 生成 | fpdf2 | | 环境 | python-dotenv | ## 快速开始 ``` # 1. Clone git clone https://github.com/Pyhroff/darkdecoder cd darkdecoder # 2. 安装依赖项 pip install -r requirements.txt # 3. 添加你的免费 Groq API key cp .env.example .env # 打开 .env 并设置：GROQ_API_KEY=your_key_here # 4. 运行 streamlit run app.py ``` 在 [console.groq.com](https://console.groq.com) 获取**免费的 Groq API key** — 无需信用卡，免费层每天提供 14,400 次请求。 ## 内置演示样本 ## 为什么选择 DarkDecoder？ | | DarkDecoder | VirusTotal | 传统 SIEM | |---|---|---|---| | MITRE ATT&CK 映射 | ✅ | 部分 | ✅ (付费) | | MITRE ATLAS (AI 威胁) | ✅ | ❌ | ❌ | | 红队杀伤链 | ✅ | ❌ | ❌ | | 免费层 | ✅ | ✅ | ❌ | | 可自托管 | ✅ | ❌ | ❌ | | 解释原因 | ✅ | ❌ | ❌ | ## 项目结构 ``` darkdecoder/ ├── app.py # Main Streamlit UI ├── analyzer.py # MITRE ATT&CK malware scanner ├── ai_analyzer.py # MITRE ATLAS AI threat detector ├── redteam_analyzer.py # Red team kill chain analyzer ├── report_generator.py # PDF report generation ├── requirements.txt ├── .env.example └── .gitignore ``` ## 许可证 MIT License — 可免费使用、修改和部署。 *DarkDecoder — 因为恶意软件不会自己解释自己。*

标签：AI安全, Chat Copilot, Cloudflare, Kubernetes, LLM, MITRE ATT&CK, Streamlit, Unmanaged PE, 威胁情报, 开发者工具, 恶意代码分析, 访问控制, 逆向工具, 配置文件