文章总结： 本文介绍利用ClaudeCode结合Ghidra和VMware实现恶意软件自动化分析的方案。工具包包含三个技能：proxy-web用于在Docker容器中安全采集恶意软件样本，ghidra-headless进行静态逆向分析和IOC提取，vmware-sandbox在隔离虚拟机中执行动态行为分析。作者为SOC分析师，展示了非专业人员借助AI完成复杂恶意软件分析的过程。工具已在GitHub开源并附带GUI界面，强调防御方应积极拥抱AI提升分析效率。 综合评分： 86 文章分类： 恶意软件,AI安全,安全工具,安全建设,实战经验

利用 Claude Code(+Ghidra, VMware) 实现恶意软件自动化分析

ひよっこサウナ ひよっこサウナ

securitainment

2026年3月18日 10:24 日本

| 原文链接 | 作者 | | — | — | | https://zenn.dev/hiyoko_sauna/articles/972b5316bd34f1 | ひよっこサウナ |

近年来，攻击者利用 AI 的案例屡见不鲜。

这些攻击者的技术水平参差不齐：有些本身就具备攻击能力，只是借助 AI 来提升效率 (*1, *2, *3)；也有一些原本对破解技术一无所知的攻击者，仅凭借 AI 就成功发动了攻击 (*4)。

我尤其关注后者——即经验匮乏的攻击者借助 AI 显著提高了攻击成功率这一现象。

在相关新闻报道中，经常会看到类似 “AI 正在提升攻击者的整体水平，而防御方在 AI 应用方面远远跟不上” 的评论。我也深有同感，防御方确实有必要拥抱 AI。

然而，与攻击者不同的是，防御方通常需要以企业身份使用 AI，因此可能面临想用的 AI 工具无法使用、或者仅停留在简单聊天机器人层面的困境。既然攻击者能够以个人身份自由运用 AI，防御方不妨也先从个人层面开始尝试，切身体会 AI 带来的实际价值。

本文将介绍一个利用个人付费即可自由使用的 Claude Code实现恶意软件自动化分析的案例。

由于涉及恶意软件操作，风险完全由操作者自行承担。

关于作者

我目前担任 SOC 分析师，从事安全相关工作。在恶意软件分析、DFIR、漏洞赏金等需要深厚专业知识的领域，我并没有实战经验；对于 C 语言代码混淆技术、加壳手法，以及 Ghidra、Volatility 等分析工具的操作，也几乎一无所知。

不过，借助 AI 的力量，我得以涉足过去无法触及的恶意软件分析和数字取证领域。本文仅作为一个 “虽然远达不到专家水平，但即便缺乏专业知识也能做到这种程度” 的案例，供大家参考。

工具包概述

我在使用 Claude Code 进行恶意软件分析时所用到的技能和工具已在以下 GitHub 仓库中开源。

当然，只提取 Skill.md 和核心概念，在自己的环境中进行复现也是完全可行的。

前置条件

• Windows

• Docker Desktop

• Python 3.10+

• 能够充分使用 Claude Code 的 Opus 4.6(推荐 Pro 计划及以上)

• VMware Workstation Pro

  中已安装 Windows10

配置方法

使用前需要配置 Claude Code 进行分析时所依赖的工具 (Ghidra, VMware, Kali Linux 等)，不过这些配置工作基本上也是由 Claude Code 自动完成的。

Clone 仓库后，在仓库目录下启动 Claude Code，输入 /toolkit-setup或 开始配置即可启动自动配置流程。

提供两种配置方式：逐步引导的交互式配置，以及预先确认所有信息后一次性完成的批量式配置，可根据个人偏好自行选择。

分析流程

工具包包含 3 个技能，根据分析阶段的不同灵活调用。下面将结合实际恶意软件的分析案例，逐一介绍各个技能。

分析目标为以下 URL。

Step 1: 恶意软件采集 (proxy-web)

首先通过 /proxy-web调用技能，并传入待分析目标的 URL。

proxy-web是一款使用 Go 语言编写的自研工具，通过 Docker 上隔离的 Chromium 浏览器访问目标 URL。下载的文件会在 Docker 容器内使用 AES-256-CBC 进行加密，本地仅保存加密后的文件。对于钓鱼网站等页面，则会自动截取屏幕截图。

此外，该工具还集成了 VirusTotal、MalwareBazaar、ThreatFox 等威胁情报平台，基于哈希值的情报收集也会自动执行。

Step 2: 静态分析 (ghidra-headless)

当获取到 exe文件时，proxy-web会建议执行 ghidra-headless进行分析。

调用 /ghidra-headless后，NSA 发布的逆向工程工具 Ghidra将以 Docker 上的 Headless 模式启动。除了反编译、导入/导出识别和字符串提取外，还会自动执行 YARA 签名扫描、基于 Mandiant CAPA 的 MITRE ATT&CK 能力分析、IOC 提取，以及恶意软件家族分类 (InfoStealer、Ransomware、RAT 等)。

如需进一步的静态分析，只需指示 “继续” 即可让其持续分析，直到满意为止。

基本的分析流程是由 Claude Code 调研后写入技能文件中的，不过如果由实际从事恶意软件分析的专业人员进行审查，应该能够实现更高质量的分析效果。

Step 3: 动态分析 (vmware-sandbox)

ghidra-headless完成初步分析后，会提示用户选择是继续追加静态分析，还是使用 vmware-sandbox进行动态分析。

调用 /vmware-sandbox后，将通过 VMware Workstation Pro 自带的 vmrun.exe以无 GUI 方式启动虚拟机。proxy-web加密的文件会被传输到虚拟机环境中并解密，随后在隔离网络 (Host-Only 模式) 中实际运行恶意软件。

虚拟机内预装了 x64dbg、PE-sieve、Frida、FakeNet-NG 等分析工具，可执行多阶段脱壳、API Hook 动态行为分析以及网络通信捕获等操作。

这一步骤容易出现错误，排错往往比较耗时。如果遇到加壳的恶意软件，工具会尝试自动脱壳；在这种情况下，也可以返回 /ghidra-headless进行重新分析。

分析报告

一系列分析完成后，报告会自动生成。

已生成的报告:

上述方法仅为示例之一，实际使用场景多种多样，可根据需要自行调整指令。

作为技能的通用规则，我强制设定了 “不在本地进行解密”，但无法保证实际行为完全符合预期。建议初期不要启用自动模式，而是逐项手动确认审批。

试用版 GUI

上述分析流程全部在 CLI 中进行，但出于个人希望了解具体执行了哪些处理以及事后回顾的需求，我让 Claude Code 开发了一个 GUI 工具。

该工具支持分析过程的流式展示和导出、报告查阅、拖拽上传文件等功能，操作直观便捷。该工具也包含在仓库中，有兴趣的话可以试用。※仅为试用版。

结语

本文介绍了一个使用 Claude Code 进行恶意软件自动化分析的案例。

曾在某处听到过这样一个说法：”AI 在技术专家手中更能发挥其效果。” 我深以为然。由于我本人并不精通恶意软件分析，无法对分析流程和手法做出精准的指导。但我相信，如果更专业的人来驾驭这套工具包，一定能够实现更高效、更精确的分析，其潜力远未被充分挖掘。

我也期待防御方能够彼此共享这类知识，迎来一个 “攻击者制作的恶意软件只需 1 小时就能完全分析透彻” 的时代。

希望本次分享能对大家有所帮助。

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment ひよっこサウナ ひよっこサウナ《利用 Claude Code(+Ghidra, VMware) 实现恶意软件自动化分析》