mandiant/speakeasy

# Speakeasy Speakeasy 是一个 Windows 恶意软件模拟框架，它在建模的 Windows 运行时而非完整的虚拟机 (VM) 中执行二进制文件、驱动程序和 shellcode。它模拟 API、进程/线程行为、文件系统、注册表和网络活动，以便样本能够继续沿真实的执行路径运行。您可以使用 `speakeasy` CLI 进行快速分类，也可以将其作为 Python 库嵌入并使用结构化的 JSON 报告。 背景背景：[Mandiant 的概览文章](https://cloud.google.com/blog/topics/threat-intelligence/emulation-of-malicious-shellcode-with-speakeasy/)。 ## 快速开始 从 PyPI 安装： ``` python3 -m pip install speakeasy-emulator ``` 运行样本并检查高级报告字段（将 `sample.dll` 替换为您的目标文件）： ``` speakeasy -t sample.dll --no-mp -o report.json 2>/dev/null jq '{sha256, arch, filetype, entry_points: (.entry_points | length)}' report.json ``` ``` { "sha256": "30ec092d122a90441a2560f6778ef8233c98079cd34b7633f7bbc2874c8d7a45", "arch": "x86", "filetype": "dll", "entry_points": 3 } ``` 此代码段的可执行证明：[doc/readme-quickstart-showboat.md](doc/readme-quickstart-showboat.md)。 ## 文档导航 ### 从这里开始 - [安装和 Docker 使用](doc/install.md) - [Python 库使用](doc/library.md) - [帮助和故障排除](doc/help.md) - [文档索引](doc/index.md) ### CLI 使用 - [CLI 参考](doc/cli-reference.md) - [CLI 分析配方](doc/cli-analysis-recipes.md) - [CLI 环境覆盖](doc/cli-environment-overrides.md) - [CLI 执行控制](doc/cli-execution-controls.md) - [CLI 帮助快照 (showboat)](doc/cli-help-showboat.md) ### 报告、配置和运行时行为 - [配置指南](doc/configuration.md) - [报告指南](doc/reporting.md) - [内存管理](doc/memory.md) - [局限性](doc/limitations.md) ### 调试和扩展 - [GDB 调试参考](doc/gdb.md) - [GDB 会话 (showboat)](doc/gdb-examples.md) - [使用 `--volume` 挂载主机文件](doc/volumes.md) - [添加 API 处理程序](doc/api-handlers.md) - [示例目录](examples/) - [Speakeasy 2 演练大纲](doc/speakeasy2-walkthrough.md) ## 问题和帮助 请先查看 [doc/help.md](doc/help.md)。 如果您仍需帮助，请在 [github.com/mandiant/speakeasy/issues](https://github.com/mandiant/speakeasy/issues) 提交 issue。

标签：API 挂钩, DNS 反向解析, Homebrew安装, IP 地址批量处理, Mandiant, Python 安全库, SecList, Shellcode 执行, TGT, Windows 恶意软件分析, x86/x64 架构, 二进制分析, 云安全运维, 云资产清单, 内存取证, 内核仿真, 反射式注入, 威胁情报, 开发者工具, 恶意代码模拟, 情报收集, 攻防演练, 数据包嗅探, 文件系统模拟, 文档结构分析, 沙箱逃逸检测, 注册表模拟, 漏洞研究, 用户模式仿真, 端点可见性, 网络安全审计, 行为监控, 逆向工具, 逆向工程, 驱动程序分析