meltedinhex/analyst-ai-pack
GitHub: meltedinhex/analyst-ai-pack
面向恶意软件分析、逆向工程和威胁狩猎的开放式 AI agent 技能库,提供 118 项可运行的精选技能,覆盖从样本分流到检测规则编写的完整分析闭环。
Stars: 16 | Forks: 5
# AnalystAIPack
[](https://github.com/meltedinhex/analyst-ai-pack/actions/workflows/ci.yml)
[](LICENSE)
[](CATALOG.md)
[](https://agentskills.io)
**一个用于恶意软件分析、逆向工程和威胁狩猎的开放式 agent 技能库。**
AnalystAIPack 赋予 AI agent 恶意软件分析师和威胁猎手的专业工作知识:
针对内存镜像运行哪个 Volatility 3 插件,如何脱壳加壳样本,如何在网络日志中
狩猎 C2 beaconing,以及如何将发现转化为 YARA 和 Sigma。这是一个
**专注且追求深度**的库 —— 包含跨越四个严格界定子领域的 118 项精选技能,
其中**每项技能都提供了经过测试、可运行的脚本**,而不仅仅是文字描述。
## 独有特色
- **深度重于广度。** 设有四个专门的子领域(恶意软件分析、逆向工程、
威胁狩猎和共享的基础实验环境),而非庞杂的分类目录 —— 每一项技能都是为
分析师的实际工作流程精心策划的。
- **每一项技能均可运行。** 所有 118 项技能都附带了经过测试的 `scripts/analyst.py`(仅使用标准
库,可选依赖项能够平滑降级),以及全库范围的冒烟测试工具和 CI
`--check` 门控 —— 因此这些工具切实可用,而不仅仅是纸上谈兵。
- **构造上保证安全。** 脚本仅执行静态、只读分析,且**绝不执行
样本**;输出中的 IOC 已被无害化处理;处理样本的技能明确包含了
`Safety & Handling` 部分。
- **防御者框架视角。** 技能映射至 **MITRE ATT&CK**、**MITRE D3FEND** 和
**MITRE CAR** —— 选择这些框架是因为它们比
合规性检查清单更适合逆向工程 / 恶意软件分析 / 威胁狩猎。
- **一致且立场鲜明的结构。** 每项技能都遵循相同的正文契约 —— *适用场景*
(包含明确的**不要用于**)、*工作流*、*验证* 和 *陷阱* —— 以便 agent
始终明确其边界。
## 范围
三大支柱加上一个共享基础:
| 子领域 | 涵盖范围 |
|---|---|
| `lab-foundations` | 安全处理、实验环境设置、分流、哈希计算、文件识别、IOC 格式、报告 |
| `malware-analysis` | 静态、动态、行为和内存分析;文档/脚本恶意软件;家族 |
| `reverse-engineering` | 反汇编/反编译、脱壳、去混淆、反分析对抗、特定语言的逆向工程 |
| `threat-hunting` | 假设驱动的狩猎、端点/网络/身份遥测、检测工程 |
查看 [taxonomy.md](taxonomy.md) 了解命名规则和框架映射。在
[CATALOG.md](CATALOG.md) 中浏览每一项技能,并在
[mappings/](mappings/README.md) 中查看 ATT&CK 覆盖范围。
## 适用人群
- **SOC 分析师和事件响应人员** —— 对未知文件进行分流,提取 IOC,并在遥测数据中进行关联分析,
无需每次重新推导步骤。
- **恶意软件分析师和逆向工程师** —— 用于静态分析、脱壳、配置提取和特定语言逆向工程的
一致流程(以及可运行的脚本)。
- **威胁猎手和检测工程师** —— 将发现转化为 Sigma / YARA / Suricata
检测,并针对 ATT&CK 验证覆盖范围。
- **AI-agent 构建者** —— 将经过审查、具备安全边界的安全技能集引入 Claude Code、
Copilot、Cursor 或任何兼容 agentskills.io 的 agent。
## 一个实际案例:从样本到检测
每项技能都是一步;串联起来它们覆盖了完整的分析师闭环。对可疑可执行文件的典型
调查会经历如下技能步骤:
| # | 阶段 | 技能 |
|---|---|---|
| 1 | 对未知文件进行分流 | [`triaging-an-unknown-sample`](skills/triaging-an-unknown-sample/SKILL.md) |
| 2 | 静态 PE 检查 | [`performing-static-pe-analysis`](skills/performing-static-pe-analysis/SKILL.md) |
| 3 | 通过熵值识别加壳 | [`measuring-section-entropy-to-detect-packing`](skills/measuring-section-entropy-to-detect-packing/SKILL.md) |
| 4 | 脱壳至 OEP | [`manually-unpacking-a-packed-binary`](skills/manually-unpacking-a-packed-binary/SKILL.md) |
| 5 | 恢复 C2 配置 | [`extracting-cobalt-strike-beacon-config`](skills/extracting-cobalt-strike-beacon-config/SKILL.md) |
| 6 | 无害化并打包 IOC | [`defanging-and-sharing-iocs`](skills/defanging-and-sharing-iocs/SKILL.md) |
| 7 | 在流量中狩猎 IOC | [`hunting-cobalt-strike-traffic`](skills/hunting-cobalt-strike-traffic/SKILL.md) |
| 8 | 编写持久化的检测规则 | [`writing-sigma-detection-rules`](skills/writing-sigma-detection-rules/SKILL.md) |
直接通过 CLI 驱动,机械化的步骤如下所示:
```
# 1. Triage,然后 5. recover the beacon config(只读,从不执行样本)
python tools/analyst-pack.py run triaging-an-unknown-sample -- triage suspicious.exe
python tools/analyst-pack.py run extracting-cobalt-strike-beacon-config -- parse beacon.bin
# 7. 在 proxy/Zeek logs 中 hunt 已 recovered 的 indicators,8. emit 一个 Sigma rule
python tools/analyst-pack.py run hunting-cobalt-strike-traffic -- hunt http.csv
```
每个脚本都会输出结构化的、已**无害化处理**的 JSON,你可以将其输入到报告、SIEM 或链条中的
下一个技能。
## 格式
每一项技能都遵循 [agentskills.io](https://agentskills.io) 的 `SKILL.md` 标准,因此它
可以在 Claude Code、GitHub Copilot、Cursor、Codex CLI、Gemini CLI 及其他兼容的
agent 中运行。
```
skills//
├── SKILL.md # frontmatter + procedure (When to Use, Workflow, ...)
├── scripts/analyst.py # runnable tooling
├── references/api-reference.md
└── LICENSE
```
技能在
frontmatter 中映射至 **MITRE ATT&CK**、**MITRE D3FEND** 和 **MITRE CAR**(用于狩猎)—— 选择这些框架是因为它们比合规性检查清单更适合逆向工程、恶意软件分析和
威胁狩猎。
## 快速开始
```
git clone https://github.com/meltedinhex/analyst-ai-pack.git
cd analyst-ai-pack
# 验证 skills 并(重新)构建 catalog
python tools/lint-skills.py --all
python tools/build-index.py
# (重新)构建可浏览的 catalog 和 ATT&CK Navigator layer
python tools/build-catalog.py
python tools/build-navigator-layer.py
```
将你的 agent 指向 `skills/` 目录,或加载单个 `SKILL.md`。AI agent
应首先阅读 [AGENTS.md](AGENTS.md) —— 它说明了如何查找、运行以及安全地串联
技能。
## 结合 GitHub Copilot 使用
在 VS Code 中打开此文件夹。Copilot Chat 会自动读取
[`.github/copilot-instructions.md`](.github/copilot-instructions.md),因此它知道技能的
存在以及如何安全地运行它们。然后,在 **Agent** 模式下,只需询问:
- *"在 events.csv 中狩猎 LOLBin 滥用"* → 使用 `hunting-lolbin-abuse-on-windows`
- *"对此未知文件进行分流并提取 IOC"* → 串联执行 分流 → IOC 提取
你也可以将 Copilot 指向特定的技能:
```
#file:skills/extracting-cobalt-strike-beacon-config/SKILL.md
Use this skill to analyze beacon.bin
```
除了 Copilot 之外无需任何其他订阅 —— 脚本是纯 Python 编写的,可通过 Copilot 的
终端工具运行(或直接使用 `python tools/analyst-pack.py run …`)。
## `analyst-pack` CLI
一个用于发现和运行该库的统一入口 —— AnalystAIPack 独有:
```
python tools/analyst-pack.py list --subdomain threat-hunting # browse skills
python tools/analyst-pack.py search kerberos # full-text search
python tools/analyst-pack.py show hunting-lolbin-abuse-on-windows
python tools/analyst-pack.py run identifying-cryptographic-routines-in-binaries -- scan a.bin
python tools/analyst-pack.py stats # library statistics
python tools/analyst-pack.py lint # lint every skill
python tools/analyst-pack.py build # rebuild index/catalog/layer
```
## 创建技能
```
# 复制 scaffold
cp -r templates/skill-template skills/my-new-skill # PowerShell: Copy-Item -Recurse
# 编辑 SKILL.md、scripts/analyst.py、references/api-reference.md,然后:
python tools/lint-skills.py skills/my-new-skill
python tools/build-index.py
```
请先阅读 [CONTRIBUTING.md](CONTRIBUTING.md) —— 它涵盖了编写清单以及
确保 AnalystAIPack 内容真正原创的原创性规则。
## 安全性
这些技能涉及真实的恶意代码技术。处理样本的技能假定在
隔离的分析实验室中进行,并记录了安全处理、加密存储和 IOC 无害化处理。
AnalystAIPack **不提供任何活跃的恶意软件样本**。请参阅 [SECURITY.md](SECURITY.md)。
## 许可证
Apache-2.0 —— 见 [LICENSE](LICENSE)。MITRE ATT&CK、D3FEND 和 CAR 版权归 MITRE 所有,并根据
其各自的使用条款使用。
由 [meltedinhex](https://meltedinhex.com/) 构建并维护 —— 恶意软件分析、逆向
工程和威胁狩猎笔记。
标签:AI代理技能库, DAST, 云资产清单, 恶意软件分析, 数字取证, 自动化脚本, 逆向工具, 逆向工程