asmodhex/AegisCore

# AegisCore

高级低层行为研究框架

系统内核 • 行为分析 • 检测工程 • AI 辅助研究

## 概述 AegisCore 是一个高级的低层研究框架，旨在探索操作系统内核、行为遥测、检测工程和 AI 辅助的安全分析。 该项目主要使用 C 和汇编语言构建，优先考虑与原生操作系统组件的直接交互，为研究人员提供对进程执行、内存管理、线程、网络连接和系统行为的细粒度可见性。 该框架作为一个平台，用于研究现代防御技术如何观察、分类和应对复杂的软件行为，同时促进下一代检测方法的开发。 ## 愿景 现代网络安全越来越依赖于行为分析而不是静态特征。 AegisCore 旨在弥合以下领域之间的差距： * 操作系统内核 * 安全遥测 * 行为检测 * 人工智能 * 检测工程 * 主权基础设施需求 长期目标是创建一个模块化的研究环境，能够对复杂的软件行为进行建模、收集系统级遥测数据，并协助分析师理解现代企业基础设施中的检测面。 # 研究领域 ## 操作系统内核 AegisCore 探索了低层的操作系统机制，包括： * 进程创建生命周期 * 内存分配策略 * 线程调度 * 异常处理 * IPC 机制 * 原生网络栈 * 内核/用户态交互 * 安全边界执行 该框架旨在最大化透明度和可观察性，同时保持最少的抽象层。 ## 行为分析研究 该项目的一个重点是了解现代安全产品如何评估软件行为。 研究领域包括： * 事件关联 * 行为评分 * 遥测生成 * 进程祖先分析 * 内存活动分析 * 网络行为分类 * 用户态监控机制 * 安全事件聚合 目的不是绕过安全控制，而是更好地理解防御系统如何识别可疑活动，以及如何提高检测质量。 ## 检测工程 AegisCore 提供了一个用于研究以下内容的受控环境： * 检测逻辑设计 * 行为规则创建 * 威胁狩猎方法论 * 对手模拟场景 * 遥测富化 * 告警保真度优化 * 减少误报 这使防御者能够测试假设并提高复杂基础设施中的可见性。 ## 人工智能集成 该框架引入了 AI 辅助分析功能，用于： * 行为模式识别 * 遥测聚类 * 事件摘要 * 威胁情报关联 * 二进制分析辅助 * 加速安全研究 特别关注可以在受监管环境中运行的主权 AI 部署模型。 ## 主权与本地架构 AegisCore 的设计充分考虑了数字主权原则。 主要目标包括： * 完全的本地部署 * 物理隔离兼容性 * 数据驻留合规性 * 基础设施独立性 * 监管一致性 * 企业隐私要求 该框架可以集成到禁止或限制基于云的遥测处理的环境中。 # 技术架构 ## 低层核心 该框架结合了： ### 汇编层 负责： * 特定于 CPU 的优化 * 上下文操作 * 低层插桩 * 原生执行原语 * 架构特定的例程 ### C 运行时层 负责： * 内存管理 * 模块化组件 * 遥测收集 * 网络抽象 * 跨平台兼容性 ## 原生通信栈 AegisCore 通过依赖操作系统原生的网络功能，最大限度地减少了外部依赖。 示例包括： * WinHTTP * WinINet * Windows Native API * POSIX Socket * Linux 网络 API 优势包括： * 降低部署复杂性 * 提高可移植性 * 降低维护开销 * 一致的系统集成 ## 遥测引擎 遥测子系统旨在收集和关联： * 进程事件 * 线程活动 * 内存操作 * 网络交互 * 与安全相关的系统事件 * 行为指标 生成的数据集可用于： * 检测研究 * 威胁狩猎模拟 * AI 辅助分析 * 安全验证演练 # 基础设施研究 AegisCore 还作为研究复杂企业架构的平台。 主题包括： * 网络分段 * 信任边界 * 身份流 * 基础设施可见性 * 横向移动检测 * 安全监控覆盖率 * 攻击面映射 * 权限关系 目标是帮助组织更好地了解其防御态势并提高检测能力。 # 安全原则 该项目遵循几个基本原则： ### 安全第一 每个组件的设计都考虑了： * 安全编码实践 * 内存安全考量 * 最小权限原则 * 防御性验证机制 ### 透明度 研究方法应当是： * 可复现的 * 可审计的 * 已记录的 * 科学严谨的 ### 隐私 数据保护是一项核心设计要求： * 加密通信 * 本地处理支持 * 主权 AI 集成 * 最小数据暴露 # 未来路线图 ## 核心框架 * [ ] 高级遥测引擎 * [ ] 跨平台插桩层 * [ ] 统一事件关联系统 * [ ] 模块化插件架构 ## AI 研究 * [ ] 本地 LLM 集成 * [ ] 行为聚类引擎 * [ ] 威胁模式分析 * [ ] 自主研究助手 ## 检测工程 * [ ] 检测验证实验室 * [ ] 事件重放框架 * [ ] 安全分析模块 * [ ] 对手模拟场景 ## 基础设施分析 * [ ] 网络可见性映射 * [ ] 安全态势评估 * [ ] 分段分析 * [ ] 企业模拟环境 # 免责声明 AegisCore 是一个网络安全研究项目，旨在用于教育、防御和分析目的。 该框架旨在支持对操作系统内核、遥测生成、行为分析、检测工程和安全验证的研究。 严格不鼓励在授权的研究、测试、教育或防御环境之外的任何使用。 ## 作者 **Matteu Olivieri Bastiani** **InnoSecurity** 和 **Aegis AI** 的创始人 安全研究员 • 逆向工程师 • 检测工程爱好者 • 网络安全 AI

标签：EDR绕过, FOFA, Windows底层, 自动回退, 高交互蜜罐