nivedhcarr/sample

# 恶意软件分析与逆向工程研究实验室 🛡️ ## 🔍 专业概述 本仓库作为一个技术作品集，专注于 **Windows 内部机制**、**恶意软件规避** 和 **动态二进制插桩**。每个项目都旨在解构现代威胁行为者使用的方法论，并探索防御性对策。 ## 📂 项目目录 ### 1. [自定义 API 钩子工具](./Custom%20API%20Hooking%20Tool) * **目标：** 实时拦截系统调用 (NTAPI/Win32)。 * **亮点：** 拦截 `NtQuerySystemInformation` 和 `CreateFileW`。 ### 2. [反调试库](./Anti%20Debugging%20Library) * **目标：** 一个多向量保护库，用于检测并中和分析环境。 * **技术：** 使用 `readgsqword` 直接访问 PEB，堆标志分析，以及 `ThreadHideFromDebugger` 主动防御。 * **对象：** 绕过研究人员的检测工具和自动化沙箱。 ### 3. [Win-Keylogger](./Win-Keylogger) * **目标：** 研究用户模式 API 钩子和基于注册表的持久化。 * **技术：** 实现 `SetWindowsHookEx` 和 `RegSetValueExA` 以实现启动时存活。 * **重点：** 理解底层输入拦截和隐蔽数据记录。 ### 4.[自动化网络扫描器](./Automated%20DNetwork%20Scanner) * 一个自主、长期运行的情报收集和网络足迹探测守护进程，旨在模拟后台侦查操作。 * 深度正则表达式数据挖掘：自动化流水线使用多模式正则表达式解析原始网页源代码，即时提取隐藏的电子邮件、电话号码和基础设施跟踪日志 []。 ## 🛠️ 技术技能 * **编程语言：** C++、C、汇编 (x64) * **Windows 内部机制：** PEB/TEB 解析、Win32 API、原生 API (NTAPI)、进程注入。 * **逆向工具：** Ghidra、x64dbg、PE-bear、Process Hacker 等 * **研究：** 技术写作、MITRE ATT&CK 映射、IOC 提取。 ## 🤖 AI 增强研究方法 这些项目使用 **AI 辅助工作流** 开发。我利用先进的大语言模型 (LLM) 作为研究合作伙伴： * **架构复杂逻辑：** 共同开发用于底层 Windows API 钩子和反调试的 C++ 实现。 * **文档：** 这些文件夹中包含的“详细报告”是在 AI 研究和浏览会话期间生成的技术深度剖析、代码解释和工作流逻辑的精选导出。 ## 🛡️ 分析师思维 本实验室中的每个项目都包含一个 **防御分析** 部分，为蓝队和 EDR 开发者提供入侵指标 (IOC) 和检测策略。 ## ⚠️ 免责声明 所有内容仅用于 **教育和安全研究目的**。代码旨在在隔离的沙箱环境中执行。

标签：API钩子, C++, C2, DAST, DOM解析, Libemu, NTAPI, PEB/TEB, Win32 API, Windows内幕, 云资产清单, 动态二进制插桩, 反调试, 威胁分析, 快速连接, 恶意软件分析, 插件系统, 数据擦除, 汇编语言, 沙箱绕过, 注册表, 端点可见性, 网络扫描器, 自动化侦查工具, 逆向工程, 键盘记录器