VolkanSah/PoisonIvory

# PoisonIvory - Nemesis//NF ###### > 版本 1.4.0 - 测试版 - 代号："涅槃重生" - 安全模式 v.2026  ### 高级安全与威胁监控（DIY） ## PoisonIvory 是什么？ PoisonIvory 是一个精英安全操作（微）框架/样板代码，结合了一系列能力，用于在授权环境中进行深度安全审计并提供持续威胁监控。它旨在模拟高级对手技术，用于防御性学习和根据您的需求扩展。 * **基础设施审计** - 对域名、洋葱服务和网络资产进行全面扫描。 * **AI 时代威胁检测** - 实时检测 LLM 提示注入、AI 代理劫持、量子收割攻击。 * **漏洞评估** - 集成行业标准评估工具（Nmap、Nuclei、SSLScan 等）。 * **Tor 电路管理** - 主动监控和防御恶意 Tor 中继。 * **自动响应** - 基于阈值的紧急扫描和详细的取证报告。 * **蓝队集成** - 在您自己的安全边界内实现持续监控和威胁情报收集的框架。 适用于： - 红队/蓝队操作（仅限授权环境）。 - 关键基础设施加固和合规性检查。 - AI/量子时代的安全研究与对手模拟。 - 精英安全专业人员的培训。 ## 核心功能 ### 核心能力 - 用于企业部署的基于 JSON 的配置系统。 - 支持自定义安全工作流的模块化架构。 - **核融合模式** - 在受控条件下对基础设施限制进行压力测试。 - **SecurityPatterns2026 类** - 包含 150+ 种现代威胁模式。 - **风险评分系统** - 自动的 CRITICAL/HIGH/MEDIUM/LOW 分类。 - 在增强安全性和性能的同时保留原始架构。 ### 安全集成 | 工具 | 功能 | |---|---| | Nmap | aggressive 端口扫描和服务枚举。 | | Nuclei | 基于模板的快速、可定制漏洞检测。 | | SSLScan | TLS/SSL 配置和协议弱点的详细审计。 | | Tor 控制 | 电路管理和测试隔离的自动更新。 | | Scapy/Raw | 灵活的低级数据包监控和有效载荷分析。 | | **OpenVAS** | 通过 API 支持外部、全面的漏洞评估（如果配置）。 | ### 高级操作 - **2026 威胁模式** - LLM 注入、AI 代理攻击、量子收割、容器逃逸。 - 在检测到高置信度威胁时自动紧急扫描。 - 持续监控，定期运行健康检查和 DNS 重绑定保护。 - 用于取证分析的完整 JSON 报告。 - **反循环机制** - 用于稳定的 Tor 电路更新。 ## 要求 ### 强制要求 - Python 3.9+（推荐 3.11+） - Linux 环境（推荐内核 5.4+） - 执行 Nuclear Mode 内核级操作需要 root 权限。 ### 安全工具（部分列表） ``` # 最小核心依赖 nmap nikto sslscan testssl.sh # 最小 Python 模块需求 requests stem scapy ipaddress ``` ## 配置 ### 最小示例 `cms_security_config.json` ``` { "domain": "yourdomain.com", "onion_address": "youronionaddress.onion", "tor_control_port": 9051, "tor_password": "your_tor_password", "output_dir": "security_reports", "alert_threshold": 5, "malicious_relays": ["ABCD1234EFGH5678", "IJKL91011MNOP1213"], "malicious_patterns": ["(?i)(malware|exploit|ransomware)", "(?i)(wp-admin|phpmyadmin)"], "nuclear_mode": false } ``` ## 用法 ### 命令结构（保留原始接口） ``` PoisonIvory.py [COMMAND] ``` ### 操作 | 命令 | 功能 | |---|---| | `scan` | 运行完整安全审计（端口扫描和漏洞评估）。 | | `monitor` | 启动对网络流量和系统健康的持续监控。 | | `create-config` | 生成默认配置文件。 | ### 核模式激活 在配置文件中启用 `nuclear_mode` 以进行高强度操作。启用后，PoisonIvory 将： - 增加网络缓冲区大小（需要 root 权限）。 - 使用 aggressive 扫描参数（`-T5 --min-rate 5000`）。 - 分配额外的系统资源。 - 减少监控间隔。 启动时的示例警告： ``` !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !! NUCLEAR MODE ACTIVATED - EXPECT SYSTEM INSTABILITY !! !! Target servers may experience disruption !! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ``` ### 示例 **运行安全审计：** ``` PoisonIvory.py scan config.json ``` **启动持续监控：** ``` PoisonIvory.py monitor config.json ``` ## 设计哲学 PoisonIvory 体现了三个核心原则： 1. **专家导向** - 无 GUI，无保姆式操作，无“简单模式”。 - 仅原始终端输出和 JSON 报告。 - 错误是学习机会，而不是自动修复的漏洞。 2. **保留原始架构** - 核融合版维护 Volkan 的原始代码结构。 - 集成关键安全修复而不进行过度工程化。 - 为现有用户提供无缝升级路径。 3. **以进攻为导向的防御** - 用于健壮防御开发的对手模拟技术。 - 基于阈值的自动反制措施。 - 具有反循环保护的 Tor 电路战能力。 ## 法律与伦理声明 - ⚖️ **法律合规**：本工具**仅**可用于您拥有或已获得**明确书面授权**（工作范围）的系统。 - 🚫 **无担保**：本软件按“原样”提供，不提供任何形式的担保。 - 🔒 **责任**：您独自负责理解和遵守所有关于安全测试的当地法律和伦理准则。 - ⛔ **后果**：对您不拥有的系统进行未经授权的扫描、主动利用或**流量嗅探（数据包嗅探）**是非法的，可能导致严重的法律处罚。 ## 1.4.0 版本的新特性 ### 关键安全增强 - **SecurityPatterns2026 类** - 全面升级，包含 150+ 种现代模式。 - **AI/LLM 威胁检测** - 提示注入、代理劫持、影子 AI。 - **量子时代安全** - 量子收割、后量子加密迁移漏洞检测。 - **容器安全** - 逃逸向量、Kubernetes API 保护。 - **风险评分系统** - 自动 CRITICAL/HIGH/MEDIUM/LOW 分类。 ### 核模式改进 - 增强的内核级网络优化。 - 更好的资源分配和内存管理。 - 通过适当的错误处理提高稳定性。 ### 企业级修复 - **命令注入漏洞** - 移除所有 `shell=True`。 - **DNS 重绑定保护** - 实施完整的 SSRF 缓解措施。 - **线程安全操作** - 并发监控的锁机制。 - **IP 验证** - 正确使用 `ipaddress` 模块。 ## 更新日志 ### v1.3.1 → v1.4.0 | 特性 | v1.3.1 (2025) | v1.4.0 (2026) | |---|---|---| | 安全模式 | 基础的 SQLi/XSS/CMDi | 150+ AI/量子/容器模式 | | 威胁检测 | 传统 Web 攻击 | + LLM 注入、AI 代理劫持 | | 风险评估 | 二进制（恶意/干净） | 4 级评分（CRITICAL → LOW） | | 加密学重点 | TLS/SSL 弱点 | + 后量子收割检测 | | 容器安全 | 有限 | 逃逸向量、K8s API 保护 | | 命令安全 | 部分使用 shell=True | + 全部 shell=False，正确清理 | | DNS 保护 | 基本 | 扩展的完整重绑定保护 | ### 1.4.0 中的新威胁类别 1. **AI/LLM 安全** - 提示注入、代理操纵。 2. **量子密码学** - 收割攻击、迁移漏洞。 3. **容器与云原生** - 逃逸向量、K8s 安全。 4. **深度伪造与身份** - 合成欺诈检测。 5. **供应链 2026** - AI 生成的恶意软件包。 ## 开发与致谢 ### 核心开发 - **Volkan Kücükbudak** ([@volkansah](https://github.com/volkansah)) - 首席架构师。 ### AI 辅助开发 - **DeepSeek** - 在尝试了 5 次后帮助编写了此 README.md！WTF (DS 太懒了)。 - **Claude 4.5** - 在尝试了 12 次后进行架构审查和模式验证。 ### PoisonIvory 声明：Nexus Fusion 哲学 ### I. 刀锋的二元性 PoisonIvory 既不是盾牌也不是剑本身 - 它是淬炼过的钢铁。在今天的网络空间，防御（蓝队）与进攻（队/黑队）之间的界限由上下文决定，而非工具。象牙存在于灰色地带：保护弱者并揭露鲁莽者。 ### II. 通过完整性实现伪装 真正强大的工具不需要响亮的名字。PoisonIvory 伪装成系统最渴望的东西：一个警惕的监控者。这种模仿并非出于恶意 - 它证明了数字基础设施中的信任必须通过验证来获得，而不是通过无害的进程名称来授予。 ### III. 核选项：受控升级 当外交失败且边界崩溃时，象牙进入核融合模式。 * 内核针对透明度而非破坏进行调优。 * 速度用于跑赢阴影。 * 任何调用此模式的人都必须接受由此产生的系统不稳定以及在被破坏系统中揭示真相所承担的全部责任。 ### IV. 反射式自主（缺失的部分） 防御必须以光速移动，而不是以人的速度。象牙被设计为反射式反应 - 对数字病原体的自动免疫响应。它不会等待许可来生存；它会根据观察到的威胁调整其攻击性。 ### V. Tor 悖论 我们使用匿名性来增强问责制。通过轮换身份，象牙逃避对手的自动跟踪，为人类操作员争取最宝贵的资源：**时间**。 ### VI. 最终实例（取证抵抗） 一个看到一切的工具必须不留可能被武器化以对抗无辜者的痕迹。象牙是气体 - 填充空隙，扫描每个角落，并在接触时消失，将其秘密带入坟墓。

标签：AES-256, AI代理劫持, AI威胁检测, AMSI绕过, ASM汇编, CTI, Google, JSON配置, Nmap, Nuclei, SSL扫描, Tor, 专业安全, 企业部署, 关键基础设施, 压力测试, 取证报告, 基础设施加固, 威胁情报, 威胁检测, 安全培训, 安全模式, 库, 应急响应, 开发者工具, 提示注入, 数据展示, 核融合模式, 模块化架构, 洋葱服务, 漏洞评估, 红队, 网络资产扫描, 自动化响应, 虚拟驱动器, 逆向工具, 量子攻击, 集群管理, 风险评分