1v4mp1r3/reverse-shell-detection-lab

# 反向 Shell 检测实验室 反向 Shell 检测实验室是一个防御性蓝队项目，旨在从安全的合成日志中检测反向 Shell 模式。它有意将重点放在检测工程、规则验证和可解释的报告上。 ## 安全范围 - 仅限防御性检测实验室。 - 测试夹具是合成日志，而非可执行的 payload。 - 不包含 AV/EDR 绕过、持久化、漏洞利用或 payload 生成。 - 示例使用文档专用的 IP 范围和经过脱敏处理的命令上下文。 ## MVP 架构 ``` local scenario fixtures | v process + network logs | v Sigma-like YAML rules | v process/network correlation engine | v JSON or Markdown findings report ``` 未来的层可以在相同的事件模型背后接入 Zeek `conn.log`、Suricata `eve.json` 以及生成的 PCAP 测试夹具。 ## 快速开始 ``` py -m venv .venv .\.venv\Scripts\python -m pip install -e .[dev] .\.venv\Scripts\revshell-lab validate-rules .\.venv\Scripts\revshell-lab scan --format markdown --output reports/sample.md .\.venv\Scripts\python -m pytest ``` 不安装控制台脚本： ``` py -m pip install -e .[dev] py -m revshell_lab scan --format json ``` ## 项目布局 - `src/revshell_lab/` - CLI、事件加载器、规则解析器、检测器和报告渲染。 - `rules/reverse_shell_patterns.yml` - 受 Sigma 启发的初始检测规则。 - `data/fixtures/` - 良性和可疑的合成日志测试夹具。 - `tests/` - 规则验证和误报检查。 - `docs/IMPLEMENTATION_PLAN.md` - 源自 Notion 的实施计划。 ## 当前检测逻辑 第一个检测器将可疑的进程命令行模式与来自同一主机和进程的出站网络活动相关联，时间范围在一个可配置的时间窗口内。 初始检测涵盖： - 带有出站连接的交互式 Shell 进程。 - 带有出站连接的类 Netcat exec 模式。 - 带有出站连接的 PowerShell hidden/no-profile 类 Shell 行为。 ## 支持的输入 - 原生实验室 JSONL 进程和网络事件。 - 导出为 JSON 行的 Zeek `conn.log`。 - Suricata `eve.json` flow 事件。 使用 `--network-format auto`、`jsonl`、`zeek` 或 `suricata`。 ``` revshell-lab scan --network-log data\fixtures\zeek_conn.jsonl --network-format zeek revshell-lab scan --network-log data\fixtures\suricata_eve.jsonl --network-format suricata ``` ## 伦理声明 本仓库展示了成熟的安全实践：它帮助防御者识别可疑的进程/网络行为，同时避免使用武器化的代码。贡献应保持这一界限。

标签：Metaprompt, Python, 反向Shell检测, 安全, 无后门, 超时处理, 逆向工具