Hussain13318/E-Detective
GitHub: Hussain13318/E-Detective
一个基于 PyQt5 构建的恶意软件分析训练桌面平台,通过 CTF 风格的渐进式模拟案例帮助学习者掌握逆向工程和恶意行为分析技能。
Stars: 0 | Forks: 0
# ApexMark RE Detective
ApexMark RE Detective 是一个恶意软件分析训练平台,作为逆向工程课程项目构建。它为学习者提供实践性的、CTF 风格的真实案例练习,而不仅仅是阅读理论。
你将通过检查 strings、imports、assembly、network indicators 和 memory artifacts 来调查模拟的恶意软件场景,然后对证据进行评分、提交你的分析并导出完整的报告。
## 功能简介
ApexMark RE Detective 包含 6 个从易到难的渐进式案例。对于每个案例,你可以:
- 检查 strings、imports、assembly code、network indicators 和 memory artifacts
- 识别与恶意行为相关的可疑模式和 API 调用
- 根据你找到的证据进行风险评分
- 提交你的分析并获得分数
- 导出完整的 PDF 或 TXT 格式的调查结果报告
如果你遇到困难,可以购买提示,但每个提示会扣除该问题可用积分的 50%。
## 案例
| # | 案例 | 恶意软件类型 | 难度 |
|---|---|---|---|
| 1 | 伪造的 Keylogger | Keylogger / Spyware | 简单 |
| 2 | 木马化计算器 | 木马 / 后门 | 简单 |
| 3 | 加壳的 Downloader | Downloader / Packer | 中等 |
| 4 | Anti-Debug RAT | RAT / Anti-Debug | 中等 |
| 5 | 缓冲区溢出漏洞利用 | 漏洞利用 / 漏洞 | 困难 |
| 6 | 多阶段恶意软件 | 多阶段 / APT | 困难 |
## 特性
- **6 个渐进式案例** - 从易到难,涵盖广泛的恶意软件家族
- **Assembly 查看器** - 阅读带有高亮可疑指令的 x86 assembly
- **API 模式识别** - 标记危险的 Windows API 调用,如 `SetWindowsHookEx`、`CreateRemoteThread` 和 `VirtualAllocEx`
- **证据类别** - strings、imports、assembly、network indicators、memory artifacts
- **加权风险评分** - 每项证据都会贡献到总体的风险评分中
- **提示系统** - 购买提示会扣除该问题 50% 的积分
- **时间线面板** - 按顺序追踪你的调查步骤
- **报告导出** - 生成完整分析的 PDF 或 TXT 报告
- **进度跟踪** - 分数和已完成的案例通过 SQLite 保存在本地
## 技术栈
| 组件 | 技术 |
|---|---|
| GUI | Python, PyQt5 |
| 数据库 | SQLite |
| 报告导出 | ReportLab (PDF), 纯文本 |
| Assembly 显示 | 自定义 x86 查看器 |
| 案例数据 | JSON 配置文件 |
## 运行说明
### 前置条件
```
pip install -r requirements.txt
```
### 启动应用
```
python main.py
```
应用将直接打开案例选择界面。选择任意案例即可开始。
## 使用指南
1. 从主界面选择一个案例。
2. 检查所有标签页中的证据:strings、imports、assembly、network 和 memory。
3. 发现可疑项时随时将其标记。
4. 谨慎使用提示,因为它们会消耗该问题 50% 的积分。
5. 当你有把握时,提交你的分析。
6. 从结果界面导出报告。
## 证据类型
| 类别 | 寻找目标 |
|---|---|
| Strings | 硬编码的 URL、IP、registry keys、可疑文件路径 |
| Imports | 用于网络访问、process injection 或持久化的危险 Windows API 调用 |
| Assembly | 可疑的指令模式、anti-debug 技巧、shellcode 指标 |
| Network | C2 endpoints、beaconing 模式、协议异常 |
| Memory | 注入目标、未加壳的 payloads、规避技术 |
## 注意事项
- 本应用程序中的所有恶意软件样本都是模拟和虚构的。
- 不包含任何真实的恶意代码。
- 该平台专为受控学术环境中的教育用途而构建。
- 所展示的 assembly 是为了学习目的而重构的,并非取自真实的恶意软件样本。
标签:DAST, Homebrew安装, 云资产清单, 安全教育, 恶意软件分析, 桌面应用, 逆向工具, 逆向工程