nhan6310/nghien-cuu-ung-cuu-ransomware

GitHub: nhan6310/nghien-cuu-ung-cuu-ransomware

该项目基于 NIST SP 800-61 构建了一套勒索软件事件响应的完整研究与模拟实践工具包,帮助学习者在隔离环境中演练从备份、检测到恢复的 IR 全流程。

Stars: 0 | Forks: 0

# 事件响应流程研究 — 系统感染勒索软件的处置 本课题研究基于 **NIST SP 800-61** 标准的信息安全事件响应流程,构建攻击场景,并开发了一套在系统感染勒索软件时进行安全模拟的**实践工具包**。 ## ⚠️ 安全与道德声明(必读) 本代码库仅用于**学习、研究和防御目的**。`nguon/lab/` 中的模拟程序被设计为**无害**的: - ✅ 仅在**指定的 sandbox 目录**内进行操作,并设有硬性限制检查。 - ✅ **100% 可逆**(使用固定密钥进行 XOR 运算),始终能够恢复数据。 - ✅ **不**进行网络连接,**不**自我传播,**不**触碰操作系统 / 注册表 / 系统服务。 - ✅ 如果缺少标记文件 `I_UNDERSTAND_THIS_IS_A_LAB.txt`,则**拒绝运行**。 **切勿**在物理机、包含真实数据的机器或连接组织内部网络的机器上运行。**切勿**使用这些知识/工具攻击任何系统——此类行为属于违法行为(2018 年《网络安全法》)。对于任何滥用行为,作者不承担任何责任。 ## 📦 代码库内容 | 路径 | 描述 | |-----------|-------| | `TAI_LIEU_HOAN_CHINH.docx` / `.md` | 包含 6 个章节的完整研究文档(理论 + 场景 + playbook + 预防) | | `HUONG_DAN_THUC_HANH.docx` / `.md` | 在 VMware 虚拟机上的逐步实践指南 | | `nguon/` | 文档的 Markdown 源文件 + 构建 `.docx` 的脚本 | | `nguon/lab/` | 用于事件响应实践的 **6 个 Python 脚本** | ## 🧰 实践工具包 (`nguon/lab/`) | 脚本 | 作用 | IR 阶段 (NIST) | |--------|---------|---------------------| | `setup_lab.py` | 创建 sandbox + 无价值样本数据 | 搭建环境 | | `make_backup.py` | 离线备份 + SHA-256 哈希表 | Preparation | | `ransomware_sim.py` | 模拟攻击(无害且可逆) | 制造事件 | | `detect.py` | 发现 IOC,构建时间线,进行分类 | Detection & Analysis | | `restore.py` | 恢复(通过密钥或从 backup) | Recovery | | `verify.py` | 校验数据完整性 (SHA-256) | Recovery | ## 🚀 快速运行(在隔离的虚拟机中) ``` cd nguon/lab python3 setup_lab.py --sandbox Sandbox_Demo # chuẩn bị python3 make_backup.py --sandbox Sandbox_Demo --backup Backup_Offline python3 ransomware_sim.py --sandbox Sandbox_Demo --yes # mô phỏng sự cố python3 detect.py --sandbox Sandbox_Demo # phát hiện python3 restore.py --sandbox Sandbox_Demo --backup Backup_Offline # khôi phục python3 verify.py --sandbox Sandbox_Demo --backup Backup_Offline # kiểm tra ``` ## 🔧 重新构建 `.docx` 文档 无需外部库(使用纯 Python): ``` python3 nguon/build_docx.py # build tài liệu nghiên cứu python3 nguon/thuchanh/build_lab_docx.py # build tài liệu thực hành ``` ## 📚 参考框架 - NIST SP 800-61 — Computer Security Incident Handling Guide - SANS PICERL, MITRE ATT&CK, NIST CSF - 2015 年《网络安全法》,2018 年《网络安全法》,第 85/2016 号、13/2023 号法令 ## 📄 许可证 源代码基于 [MIT](LICENSE) 许可证发布。文档仅供学习使用,转载时请注明来源。
标签:NIST标准, 勒索软件, 安全演练, 库, 应急响应, 逆向工具