johnsaurabh/CyberSecProjects
GitHub: johnsaurabh/CyberSecProjects
涵盖内核级Rootkit、C2模拟、加密反向Shell及网络威胁检测等攻防工具的综合网络安全研究实验室项目集。
Stars: 0 | Forks: 0
# 网络安全研究项目
一系列为研究、教育和授权实验环境而构建的攻防安全工具集合。每个项目都针对安全工程的一个特定领域,从内核级持久化到网络流量分析,再到基于 ML 的威胁检测。
所有工具仅用于**教育目的和受控实验环境**。本仓库中的任何工具均不打算在未经明确授权的情况下用于攻击系统。
## 项目
### 进攻性安全研究
| 项目 | 语言 | 描述 |
|---------|----------|-------------|
| [StealthyRootkit](./StealthyRootkit/) | C | 内核级 LKM rootkit,演示了 syscall 钩子、进程隐藏和文件系统隐蔽。旨在理解内核级持久化在 syscall 表层面的实际运作方式。 |
| [MalwareC2Server](./MalwareC2Server/) | Python | 命令与控制模拟框架,模拟真实攻击者基础设施:服务端/客户端通信、任务队列和执行流程。专为红队演练和 C2 检测研究而构建。 |
| [ReverseShell_AES](./ReverseShell_AES/) | Python | 使用 AES 的加密反向 shell,旨在了解防御者如何检测(或遗漏)加密的回调通道。用于测试网络监控和 DPI 设置。 |
| [Simplified Keylogger](./SimplifiedKeylogger/) | Python | 演示 OS 级别输入拦截的基础键盘记录器。作为端点检测研究的一部分而构建。了解键盘记录器的工作原理是捕获它们的前提。 |
### 威胁检测与防御
| 项目 | 语言 | 描述 |
|---------|----------|-------------|
| [Tartarus Gate](https://github.com/johnsaurabh/Tartarus_Gate) | Rust · Python | 多层安全平台。包含 WAF (Iron Veil) + 基于 ML 的恶意软件分类 + 威胁中和。已移至独立仓库。 |
| [PhishingDetector](./PhishingDetector/) | Python | 用于钓鱼网站分类的 URL 和内容分析管道。结合了启发式规则和基于 ML 的多信号类型评分。 |
| [DNSSpoof_Detector](./DNSSpoof_Detector/) | Python | 通过分析响应一致性和 TTL 异常,实时检测 DNS 欺骗和 DNS 缓存中毒企图的网络监控器。 |
### 网络与侦察工具
| 项目 | 语言 | 描述 |
|---------|----------|-------------|
| [Portscanner](./Portscanner/) | Python | 具有服务指纹识别和可配置扫描配置文件的多线程 TCP/UDP 端口扫描器。 |
| [ViperFang](https://github.com/johnsaurabh/ViperFang) | Python | 网络流量分析和异常检测工具。已移至独立仓库。 |
| [Nemesis](https://github.com/johnsaurabh/Nemesis) | Python | 自动化漏洞扫描和枚举框架。已移至独立仓库。 |
### 隐写术与隐蔽通道
| 项目 | 语言 | 描述 |
|---------|----------|-------------|
| [SteganographyDetector](./SteganographyDetector/) | Python | 用于检测图像和音频文件中 LSB 和频域隐写术的工具。作为隐蔽通道研究的对应部分。 |
## 技术栈
`Python` `C` `Linux Kernel (LKM)` `Syscall Hooking` `Scapy` `Scikit-learn` `Socket Programming` `AES Encryption` `Multi-threading`
## 方法论
这些项目是逐步构建的,每个项目都针对我在特定安全领域的认知空白。模式是一致的:首先构建攻击工具以理解其原理,然后再构建检测机制来捕获它。
编写 rootkit 比阅读任何博客文章都让我更深刻地了解 AV 规避的原理。编写 C2 服务器让我明白了网络上的 beaconing 模式是什么样子。编写钓鱼检测器迫使我思考,在特征层面上,极具欺骗性的钓鱼页面与合法页面的真正区别是什么。
当你亲手构建过攻击之后,防御就会变得更容易。
## 道德与使用规范
- 所有工具均在隔离的实验环境(本地虚拟机、私有网络)中构建
- 没有任何工具在未获授权的情况下被用于攻击系统
- 共享源代码仅出于教育目的。理解攻击技术是构建有效防御的基础。
- HackTheBox、CTF 环境和个人实验室基础设施是预期的部署目标
## 相关项目
- [Tartarus Gate](https://github.com/johnsaurabh/Tartarus_Gate):此项研究的生产级演进版,一个完整的安全平台
- [Vehicle Threat Model](https://github.com/johnsaurabh/vehicle-threat-model):应用于汽车 ECU 架构的 STRIDE 威胁建模
- [Automotive Security Demo](https://github.com/johnsaurabh/automotive-secure-communication-demo):源自该威胁模型的安全通信实现
标签:0day挖掘, AES加密, AMSI绕过, Apex, AppImage, AWS, C2框架, DNS欺骗, DPI, IP 地址批量处理, LKM, Python, Rootkit分析, Rust, Syscall Hooking, URL分析, WAF, Web应用防火墙, 中高交互蜜罐, 内核安全, 反向Shell, 可视化界面, 命令与控制, 威胁检测, 安全学习资源, 安全实验室, 安全教育, 恶意软件开发, 操作系统安全, 数据展示, 无后门, 机器学习, 流量加密, 深度包检测, 端点检测, 红队, 网络信息收集, 网络安全, 网络安全分析, 网络流量审计, 逆向工具, 钓鱼检测, 隐写术, 隐私保护, 靶场环境