Show HN:AnalystAIPack——118个可执行的恶意软件分析与逆向工程代理技能
AnalystAIPack 是一个开源的代理技能库,包含118个经过测试的技能,专为恶意软件分析、逆向工程和威胁狩猎设计。它解决了通用AI代理在分析恶意软件时缺乏实践知识的问题,提供了可运行的脚本、安全设计(只读分析、无害化IOC)以及基于MITRE ATT&CK等框架的映射。每个技能包含“何时使用”、“工作流”、“验证”和“陷阱”等部分,确保代理能够正确应用技术。文章还展示了一个从样本到检测的完整示例,展示了如何通过链式技能完成分析流程。
当您让一个通用AI代理分析可疑的可执行文件时,它通常会给出听起来自信但实则无用的回答。它可能会建议“检查文件是否包含恶意内容”,推荐一个不存在的插件,或者跳过真正关键的步骤。模型对恶意软件分析了解很多,但它缺乏分析师的实践知识:在内存镜像上运行哪个Volatility 3插件、如何找到加壳程序的原始入口点、如何将恢复的C2配置转换为Sigma规则,以及同样重要的——何时不应该信任某个结果。正是为了弥补这一差距,我构建了AnalystAIPack。这是一个开源、采用Apache-2.0许可证的库,包含118个用于恶意软件分析、逆向工程和威胁狩猎的代理技能,目前已在GitHub上公开。
AnalystAIPack 是一个以agentskills.io的SKILL.md格式提供的技能库,可以直接集成到GitHub Copilot、Claude Code、Cursor、Codex CLI、Gemini CLI或任何兼容的代理中。它刻意采用深度优先的方法,而不是一个庞大而浅薄的目录,它覆盖了四个紧密范围的子领域,映射了分析师实际的工作方式。这四个子领域分别是:实验室基础(安全处理、实验室设置、分类、哈希、文件识别、IOC格式、报告)、恶意软件分析(静态、动态、行为和内存分析;文档和脚本恶意软件;家族)、逆向工程(反汇编和反编译、解包、去混淆、对抗反分析、特定语言逆向)、威胁狩猎(假设驱动的狩猎、端点、网络和身份遥测、检测工程)。
该库有三个特点使其区别于普通的提示文件夹。首先,每个技能都是可执行的。所有118个技能都附带一个经过测试的scripts/analyst.py脚本,执行分析而不仅仅是描述。它们依赖Python标准库,在缺少可选依赖时优雅降级,并通过仓库范围的冒烟测试和CI门控进行覆盖。工具确实是可用的,不仅仅是读起来好。其次,设计上确保安全。脚本执行静态只读分析,从不执行样本。IOC以无害化格式输出(hxxp://、1[.]2[.]3[.]4),每个样本处理技能都包含明确的“安全与处理”部分,假设在隔离实验室中运行。仓库不包含任何活跃的恶意软件。第三,从防御者的框架视角出发。技能映射到MITRE ATT&CK、MITRE D3FEND以及用于狩猎的MITRE CAR,选择这些框架是因为它们比合规性检查表更适合逆向工程、恶意软件分析和威胁狩猎。这种映射让代理能够报告覆盖范围并将发现纳入检测工程。每个技能都遵循相同的主体契约:“何时使用”(包含明确的“不要使用”)、工作流、验证和陷阱,因此代理始终知道技术的边界,而不是盲目应用。
文章还通过一个从样本到检测的端到端示例展示了技能的链式应用。八个技能串联起来,从未知的suspicious.exe开始,到可持久的检测结束,每个脚本的JSON输出作为下一个的输入。具体步骤包括:对未知文件进行分类、执行PE静态分析、通过熵值检测加壳、手动解包到原始入口点、提取Cobalt Strike Beacon配置、无害化并打包IOC、在流量中狩猎IOC、编写Sigma检测规则。通过命令行驱动,整个过程简洁高效。例如,运行的命令有:python tools/analyst-pack.py run triaging-an-unknown-sample -- triage suspicious.exe 和 python tools/analyst-pack.py run extracting-cobalt-strike-beacon-config -- parse beacon.bin。AnalystAIPack 的目标是桥接通用AI与专业分析师之间的知识鸿沟,使代理能够执行真正实用的分析任务,而不是给出模糊的建议。该库已在GitHub上公开,采用Apache-2.0许可证,可直接集成到各种代理环境中。