🛡️ 僵尸网络自检程序

项目方案 v3
📋 项目目标

开发一款本地安全自检工具,检测本机是否已被植入僵尸程序/远控木马,是否在不知情情况下成为僵尸网络节点。

定位:防御向工具,仅检测不清理,给出风险报告供人工判断。不是攻击工具,不替代专业 EDR。
10
检测模块
61
采集项
14
持久化检查
4
开发阶段
📊 项目进度
设计思路 v2✅ 完成
信息收集策划方案✅ 完成
威胁情报调研✅ 完成
技术深度调研 v3✅ 完成
第一期 MVP 编码⏳ 待开始
第二期 情报增强未开始
第三期 行为分析未开始
第四期 智能检测未开始

总体进度约 45%

最新威胁态势(2025-2026)
三大新兴趋势:
1. AI 与僵尸网络深度融合 — 攻击者用 AI 降门槛,AI 算力平台成攻击目标
2. 代理型僵尸网络崛起(PolarEdge/ContainerBot)— 传统静态 IoC 检测接近失效
3. Android/IoT 爆发 — Kimwolf 感染 2 亿设备,31.4Tbps DDoS

需覆盖的活跃家族

XorDDoS Mirai 变种 Gafgyt RCtea Kimwolf HttpBot RapperBot

反检测技术升级

DoT 加密 DNS 区块链托管 C2 多重加密通信 随机化 Beaconing 进程注入 高熵加壳 代理迷雾 反沙箱
🗂️ 已产出文档
僵尸网络自检程序-设计思路.mdv2 ✅
僵尸网络自检-信息收集策划方案.md
僵尸网络自检-技术深度调研附录.mdv3 ✅
WorkBuddy使用速查手册.md
技能与连接器选型清单.md
完整项目方案(本页面)v3 ✅
🎯 下一步行动
确认方案后,开始编写第一期 MVP 代码:
① 网络连接审计 ② 进程审计 ③ 持久化审计(14项)④ 控制台输出 + 风险评级

预计 MVP 开发周期:3-5 个工作日

🔍 10 大检测模块

模块 1:网络连接审计

检测内容:枚举所有活跃连接并关联进程,识别外连 IP 比对情报库,检测 Beaconing(支持随机间隔),非常规端口,IRC(6667),DoT(853),DNS 隧道,代理链路,TLS 指纹。

技术方案:psutil.net_connections() + 变异系数统计 + JARM 指纹匹配 + SSL 证书分析

T1071.001T1071.004T1571

模块 2:进程审计

检测内容:临时目录进程、伪装系统进程、无签名文件、进程注入(RWX内存)、父子链异常、OOM反杀保护、进程名相似度(Levenshtein)。

技术方案:psutil.process_iter() + Get-AuthenticodeSignature + 内存扫描 + 进程树构建

T1055T1036T1059

模块 3:持久化审计(14 项全覆盖)
#检查项ATT&CK
1HKLM Run/RunOnceT1547.001
2HKCU Run/RunOnceT1547.001
3Winlogon Shell/UserinitT1547.002
4AppInit_DLLsT1546.010
5BootExecuteT1547.003
6IFEO 调试器劫持T1546.012
7COM 劫持T1546.015
8计划任务(含隐藏)T1053
9系统服务(非微软)T1543.003
10svchost ServiceDllT1543.003
11启动文件夹T1547.001
12WMI 事件订阅T1546.003
13屏幕保护程序劫持T1546.002
14AppCertDLLsT1546.009

关键增强:基线对比 + LastWriteTime 时间窗口 + 交叉验证(多位置出现=高危)

模块 4:DNS 与 Hosts 审计

检测内容:Hosts 篡改、DNS 缓存异常、DGA 域名(熵值>3.5)、DNS 隧道(超长子域名/TXT高频)、DoT(853)、OpenNIC 域名。

T1071.004T1568.002

模块 5:文件系统审计

检测内容:系统目录未知 exe、临时目录残留、7天内新文件、SHA256 比对、高熵检测(>7.0)、隐藏属性、文件名随机化、YARA 规则、NTFS ADS。

T1027T1564.002T1105

模块 6:系统行为审计

检测内容:空闲时异常流量、挖矿CPU>80%、SMTP端口(25/465/587)、凌晨异常活动、LSASS凭据窃取、内网横向扫描、文件删除清痕、PowerShell编码命令。

事件日志:4624/4625(登录) · 4688(进程创建) · 7045(新服务) · 4104(PowerShell)

T1496T1557T1087

模块 7:威胁情报比对

数据源:VirusTotal · AbuseIPDB · AlienVault OTX · Abuse.ch ThreatFox · PhishTank · Spamhaus · 绿盟通报 · CNCERT · MISP

查询对象:IP · 域名 · 文件哈希 · JARM 指纹 · SSL 证书指纹

输出:情报增强风险评级(含来源、置信度、首次发现时间)

模块 8:TLS/加密通信指纹分析 【新增】

检测内容:JARM 指纹匹配 C2 集群、SSL 证书异常(自签名/CN异常/短期证书)、TLS1.3+PSK(Kimwolf特征)、ECDSA 域名验证、DoT/DoH 通信。

技术方案:ssl + pyOpenSSL + JARM 指纹生成 + 证书链验证

T1071.001T1573

模块 9:MITRE ATT&CK 映射引擎 【新增】

将所有检测结果映射到 ATT&CK 框架,重建攻击链路图,与已知僵尸网络家族 TTP 比对。

覆盖 20+ 技术:

ID技术模块
T1059.001PowerShell 执行模块6
T1547.001注册表 Run 键自启模块3
T1053计划任务模块3
T1543.003系统服务模块3
T1546.003WMI 事件订阅模块3
T1055进程注入模块2
T1036伪装系统进程模块2
T1071.001HTTP/HTTPS C2模块1
T1071.004DNS C2模块4
T1571非标准端口 C2模块1
T1573加密通道模块8
T1496资源劫持(挖矿)模块6
... 共 20+ 项

输出:ATT&CK 热力图 + 攻击链重建图 + 家族匹配概率

模块 10:基线对比与异常检测 【新增】

基线采集:首次运行记录系统快照(进程/自启/服务/连接白名单)

差异对比:后续扫描标记所有新增项

前沿 ML 算法(第四期可选):

算法准确率来源
Hilbert曲线+CNN98.34%Nature 2026
CNN-LSTM-GRU99.99%ICCCN 2025
GNN 异构图95%App.Sci. 2026
EROIKA 多阶段99.61%IEEE 2026

📡 六层数据采集

按 NIST SP 800-86 易失性优先原则,从最容易消失的采起

Layer 1:内存取证(10 项)— 最高优先级

工具:Volatility 3 / winpmem / DumpIt

#采集项检测目标
1完整内存镜像离线分析基础
2进程列表+路径隐藏/已终止进程
3进程注入检测(malfind)T1055 注入
4进程网络连接(netscan)内存中 C2 连接
5加载DLL模块恶意DLL/未备份模块
6内核驱动/Rootkit内核态恶意代码
7凭据/密钥被窃取凭据
8环境变量+命令行恶意启动参数
9注册表内存映像运行时修改
10网络套接字表隐藏网络连接
Layer 2:网络状态(10 项)

工具:netstat / Wireshark / pyshark / sslyze

活跃连接(11) · 监听端口(12) · ARP缓存(13) · DNS缓存(14) · 路由表(15) · 防火墙规则(16) · Wi-Fi历史(17) · 网卡配置(18) · TLS指纹(19) · 流量采样5分钟(20)

Layer 3:运行进程(8 项)

工具:psutil / Process Explorer / sigcheck

全部进程列表(21) · 进程树(22) · 可执行路径(23) · 数字签名(24) · 命令行参数(25) · 进程-网络关联(26) · OOM设置(27) · 已加载DLL(28)

Layer 4:持久化机制(14 项全覆盖)

工具:winreg / schtasks / sc / PowerShell

Run/RunOnce(29-30) · Winlogon(30) · AppInit_DLLs(31) · IFEO(32) · COM劫持(33) · 计划任务(34) · 系统服务(35) · svchost(36) · 启动文件夹(37) · WMI(38) · 屏保(39) · AppCertDLLs(40) · BootExecute(41) · 组策略(42)

交叉验证:同一文件出现在多个持久化位置 = 高危
Layer 5:文件系统(9 项)

工具:hashlib / yara-python / VirusTotal API

系统目录未知exe(43) · 临时目录exe(44) · 7天内新文件(45) · 高熵文件(46) · 隐藏文件(47) · SHA256哈希(48) · Hosts文件(49) · YARA扫描(50) · NTFS ADS(51)

Layer 6:日志与事件(10 项)

工具:wevtutil / pywin32 / EvtxECmd / log2timeline

安全日志4624/4625(52) · 进程创建4688(53) · 新服务7045(54) · PowerShell4104(55) · TaskScheduler(56) · Sysmon(57) · 浏览器历史(58) · RecentDocs(59) · Prefetch(60) · 超级时间线(61)

🔗 威胁情报数据源
VirusTotal AbuseIPDB AlienVault OTX ThreatFox URLhaus PhishTank Spamhaus 绿盟伏影通报 CNCERT预警 MISP(自建) JARM指纹库 本地C2库
⏱️ 采集性能预估
网络状态5 秒
进程采集10 秒
持久化 14 项15 秒
文件系统扫描1-3 分钟
日志采集30 秒
情报比对(在线)1-2 分钟
报告生成5 秒
总计(不含内存镜像)约 8-12 分钟

🧠 五维联动分析

📊 关联分析矩阵

网络 × 进程 × 持久化 × 文件 × 日志,五维度交叉关联:

规则1:临时目录进程 + 非常规端口外连 + 注册表自启 = 高危僵尸节点

规则2:计划任务(每5分钟) + 高熵文件 + 恶意外连IP = 确认感染

规则3:伪装进程名 + 路径不在System32 + 无签名 = 伪装检测

规则4:JARM匹配C2 + 自签名证书 + 低抖动连接 = C2通信确认
🔗 ATT&CK 攻击链重建
Initial Access → Execution → Persistence → C2 → Action
(钓鱼?) → (PowerShell) → (计划任务) → (HTTP) → (DDoS?)

链路覆盖 3+ 个战术阶段 → 高置信度感染判定
📐 行为基线建模
🎯 风险评估分级
等级说明建议
🔴 高危已知C2连接+持久化+未知进程+ATT&CK链完整立即断网,专业应急
🟠 中危异常外连+临时目录exe+部分ATT&CK命中深入排查,备份数据
🟡 低危不明计划任务/Hosts修改/基线差异持续观察,定期复检
🟢 安全所有模块通过,无ATT&CK命中保持定期扫描
评分模型:持久化(25%) + 网络(20%) + 进程(15%) + 文件(15%) + 行为(10%) + TLS(5%) + DNS(5%) + 基线(5%)
情报命中 ×2 倍 · ATT&CK链覆盖3+阶段 +20 分
🛡️ 反规避对策表
攻击者技术我们的对策
随机化 Beaconing统计间隔分布(变异系数)
代理迷雾隐藏 C2链路分析:多跳连接追踪
DoT 加密 DNS853端口监控 + DoH IP监控
多重加密通信流量元数据分析(包大小/频率/方向)
进程注入内存 RWX 区域扫描 + malfind
DLL 劫持DLL 搜索路径优先级检查
高熵加壳文件Shannon 熵值计算(>7.0标记)
反沙箱参数启动检测已知反沙箱标志参数
自签名 TLS 证书证书链验证 + CN 异常检测
隐藏计划任务检查隐藏标记 + XML 直接解析
WMI 隐蔽持久化直接查询事件订阅命名空间
文件名随机化正则匹配随机字符模式

🚀 开发路线图

阶段 0:方案设计 ✅

已完成 · 2026-07-14

已完成

  • 威胁情报调研(绿盟/CNCERT/学术论文)
  • 10 大检测模块设计
  • 6 层 61 项采集清单
  • 五维联动分析方法论
  • 反规避对策表

第一期:MVP 核心检测

预计 3-5 个工作日

⏳ 待开始

  • 网络连接审计(外连IP + 端口 + 基础Beaconing)
  • 进程审计(临时目录进程 + 伪装检测 + 签名验证 + 父子链)
  • 持久化审计(14项检查全覆盖)
  • 控制台输出检测结果摘要 + 风险评级

第二期:情报增强 + TLS 分析

预计 5-7 个工作日
  • 对接 VirusTotal / AbuseIPDB / OTX API
  • 文件哈希比对 + 熵值检测
  • DNS缓存 + Hosts审计 + DGA检测
  • TLS 指纹分析(JARM + 证书 + DoT)
  • HTML 报告生成

第三期:行为分析 + ATT&CK 映射

预计 7-10 个工作日
  • 网络流量基线监控(随机化Beaconing检测)
  • CPU/内存异常 + 事件日志审计
  • MITRE ATT&CK 映射引擎 + 攻击链重建
  • 基线对比引擎
  • 定时自动扫描 + 告警推送

第四期:智能检测(可选·研究向)

研究阶段,时间待定
  • 网络流量表征学习(Hilbert曲线+CNN)
  • GNN 图神经网络检测(DNS异构图)
  • EROIKA 多阶段检测框架集成
  • 跨家族泛化验证
📦 技术选型
语言Python 3.10+
进程/网络psutil
注册表winreg
文件哈希hashlib (SHA256)
熵值计算scipy.stats.entropy
威胁情报requests
TLS 分析ssl + pyOpenSSL
YARA 规则yara-python
事件日志pywin32 + ctypes
报告生成jinja2
ML 检测scikit-learn / PyTorch
IoC 格式STIX2
打包PyInstaller
📁 项目文件结构(规划)
botnet-checker/
├── main.py               # 入口
├── modules/
│   ├── network_audit.py    # 模块1
│   ├── process_audit.py    # 模块2
│   ├── persistence_audit.py # 模块3
│   ├── dns_audit.py        # 模块4
│   ├── file_audit.py       # 模块5
│   ├── behavior_audit.py   # 模块6
│   ├── threat_intel.py    # 模块7
│   ├── tls_fingerprint.py  # 模块8
│   ├── attack_mapping.py  # 模块9
│   └── baseline.py       # 模块10
├── utils/
│   ├── ioc_db.py          # IoC 数据库
│   ├── scoring.py        # 评分引擎
│   └── report.py         # 报告生成
├── templates/
│   └── report.html      # HTML报告模板
├── data/
│   ├── ioc/
│   ├── yara_rules/
│   └── baseline.json
├── requirements.txt
└── README.md

📋 标准操作程序

🔧 SOP 10 步流程

步骤 1:准备阶段

确认管理员权限 · 准备采集工具 · 记录系统时间/主机名/IP · 启动审计日志

步骤 2:内存采集

winpmem 采集完整镜像 · 保存外部存储 · 计算 SHA256

步骤 3:网络状态采集

netstat -ano · 监听端口 · ARP · DNS缓存 · 路由表 · 防火墙 · 抓包5分钟

步骤 4:进程采集

tasklist /v · wmic process · tasklist /m · 签名验证

步骤 5:持久化采集(14项)

注册表12项 · schtasks · sc query · 启动文件夹 · WMI查询

步骤 6:文件系统采集

系统目录 · 临时目录 · 7天新文件 · 哈希 · 熵值 · 隐藏文件 · Hosts · YARA

步骤 7:日志采集

安全日志 · 系统日志 · PowerShell · TaskScheduler · Prefetch · 浏览器历史

步骤 8:情报比对

批量查询IP/域名/哈希 · JARM比对 · 证书指纹 · 输出情报标注

步骤 9:关联分析

五维关联矩阵 · ATT&CK攻击链重建 · 基线差异 · 风险评分

步骤 10:报告生成

HTML综合报告 · ATT&CK热力图 · 控制台摘要 · STIX JSON

📄 综合报告结构(12章+4附录)
1. 执行摘要

检测时间与范围 · 风险评级(🔴🟠🟡🟢)+总分 · 关键发现摘要(3-5条) · 建议措施(按紧急排序)

2. 系统概况

主机信息 · 系统时间 · 已装安全软件 · 网络配置

3. 网络连接审计

活跃连接全表 · 可疑外连 · Beaconing分析 · 非常规端口 · DoT/DoH · TLS指纹

4. 进程审计

进程树 · 可疑进程 · 注入检测 · 伪装检测 · 进程-网络关联

5. 持久化审计

14项逐条 · 基线差异 · 交叉验证 · 时间窗口分析

6. 文件系统审计

可疑文件 · 情报匹配 · YARA命中 · Hosts检查

7. DNS与域名审计

DNS缓存 · DGA检测 · DNS隧道 · Hosts篡改

8. 行为审计

流量基线 · CPU/内存 · 事件日志 · 横向扫描 · 时间线

9. MITRE ATT&CK映射

命中热力图 · 攻击链重建 · 家族匹配概率

10. 威胁情报综合

IoC命中 · 关联家族 · 情报来源与置信度

11. 基线对比

新增项 · 基线漂移评分

12. 建议与后续行动

紧急措施 · 深入排查 · 加固建议 · 定期复检计划

附录 A-D

A: 原始数据(JSON) · B: IoC清单(STIX 2.1) · C: 工具版本与签名 · D: 采集时间线日志

⚠️ 误报控制策略
基线对比首次运行建立干净基线
白名单机制合法进程/连接/服务自动过滤
时间窗口LastWriteTime 与可疑事件比对
交叉验证同一IoC多维出现才标高危
签名验证无签名+异常路径=高危
路径规则System32基本安全,AppData重点
情报置信度多源>单源>仅行为异常
🔔 注意事项
1. 仅检测不清理:发现问题只报告,不自动清除
2. 需要管理员权限:部分检测需提权
3. 白名单机制:首次运行自动生成基线
4. 隐私保护:结果只在本地,情报查询仅发哈希/IP
5. 情报更新:建议每周自动拉取最新IoC
6. 免责声明:供自检参考,不替代专业EDR

📚 参考资料

🔬 学术研究(2025-2026)
论文技术准确率
Nature Sci Rep 2026Hilbert曲线+CNN98.34%
IEEE TON 2026P2P拓扑+强化学习-
ICCCN 2025CNN-LSTM-GRU混合99.99%
App. Sci. 2026GNN异构图95%
IEEE OJCOMS 2026EROIKA多阶段99.61%
📈 威胁情报报告
绿盟伏影实验室2026 Botnet趋势
CNCERTRCtea风险提示
Kimwolf技术剖析31.4Tbps DDoS
🏗️ 标准框架
NIST SP 800-86数字取证标准
NIST SP 800-61 r3事件响应
MITRE ATT&CK攻击行为框架
STIX 2.1威胁情报交换格式
🛠️ 实战工具参考
Sysinternals Autoruns自启项检测
Process Explorer进程树+注入检测
TCPView网络连接监控
Volatility内存取证
YARA恶意文件规则匹配
VirusTotal在线多引擎扫描
Sigma检测规则参考
log2timeline超级时间线生成
🌍 开源IoC数据源
Abuse.ch ThreatFox每日更新
AlienVault OTX实时
PhishTank每日
MISP社区驱动
绿盟伏影通报不定期
CNCERT通报不定期

项目方案 v2 · 编制日期 2026-07-14

基于 NIST/MITRE/绿盟/学术研究等8个专家视角综合编制

🔬 技术深度调研

v3 新增 — 11 轮深度调研成果,含开源工具、算法代码、检测规则

📦 开源工具借鉴(5 个项目)
项目核心能力借鉴价值
botnet_detection网络监控GUI,Beaconing+DGA+DNS隧道+JA3指纹+威胁评分评分模型、黑名单自动更新
BotHunter12种RAT检测+P2P僵尸网络+Shodan集成RAT家族特征库
p2p-botnet-detectorpcap流特征提取+ML训练27个流特征定义
botnet-detection-MLCTU-13数据集+RandomForest+StreamlitML Pipeline参考
DNS-AnalyserDNS捕获+熵计算+JSON/PDF报告DNS分析模块
📡 Beaconing 检测算法(含代码)
核心算法:变异系数(CV)法
CV = σ(间隔) / μ(间隔)
CV < 0.1 → 极强 Beacon(几乎无Jitter)
CV 0.1-0.3 → 中等信号(有Jitter仍规律)
连接数 > 20 → 样本充足才下结论
高阶算法:傅里叶变换(FFT)检测大Jitter Beacon
将连接时间序列分箱→傅里叶变换→检测主导频率
即使Jitter达40%仍可检测(RITA项目同源方法)
减误报四策略:
1. 目标白名单(排除Windows Update/EDR/CDN)
2. 权重外部+稀有目标(无人访问的IP更可疑)
3. 载荷大小方差(Beacon请求大小高度一致)
4. 域名注册时间(30天内新注册=高危)
🔐 TLS 指纹检测
指纹采集方检测目标
JA3客户端 ClientHello识别C2植入物
JA3S服务端 ServerHello识别C2服务器
JARM主动扫描(10个ClientHello)C2服务器集群

Python库:pip install pyja3 pyjarm

C2框架TLS特征:
Cobalt Strike → JARM已公开(Salesforce)
Sliver → mTLS/HTTP/DNS/WireGuard多传输
Havoc → JA3可识别
Metasploit → 默认URI含checksum8校验和
四维评分模型:
JA3偏差(0.3) + SNI熵值(0.25) + 证书匹配(0.25) + 时序特征(0.2) → 阈值0.68
📊 Sysmon 核心配置
EID名称检测用途
1进程创建命令行审计、父子链
3网络连接C2外连、扫描
7镜像加载DLL注入/劫持
8远程线程进程注入
10进程访问LSASS访问(Mimikatz)
11文件创建恶意文件投递
12-14注册表事件持久化机制
15ADS流NTFS隐藏载荷
22DNS查询DNS C2/DGA/隧道
25进程篡改进程镂空/替换
关键配置:
HashAlgorithms = MD5,SHA256,IMPHASH(导入哈希追踪变种)
保留 ParentCommandLine(进程树调查必需)
EID3按IP/端口排除,不按image名排除
日志量预估:5-20 MB/终端/天
进程注入检测链(高置信C2):
Sysmon 10(打开句柄) → 8(远程线程) → 17(命名管道) → 3(外联回连)
四事件在同一进程短时间出现 = 确认C2
🧬 YARA + Sigma 规则

YARA 生态:

Valhalla (Nextron)24,212+ 规则,每日更新
Emerging Threats开源+PRO,含botnet规则
F5 Detection月增30+规则

Sigma 生态:

SigmaHQ2000+ 规则
Valhalla Sigma4,622+ 规则
本项目适用规则:Mirai变种检测 · UPX加壳 · 高熵PE · Python RAT · TLS反向Shell · 可疑位置网络连接 · CS命名管道 · WMI持久化 · LSASS访问 · 编码PowerShell
💾 内存取证(Volatility 3)
标准7步工作流:
1. pstree → 异常父子链
2. psscan → 隐藏/已终止进程
3. malfind → 注入检测(RWX+MZ头)
4. netscan → 内存中C2连接
5. cmdline → 编码命令参数
6. dlllist → 无路径DLL(反射注入)
7. memmap --dump → 转储供YARA扫描
malfind 真阳性判定:
✅ 保护=PAGE_EXECUTE_READWRITE
✅ PrivateMemory=1(非文件映射)
✅ 十六进制头=4D 5A(MZ PE头)
✅ 汇编=55 8B EC(PUSH EBP; MOV EBP,ESP)
❌ 全零=空内存,假阳性
🎯 C2 框架检测专题
框架关键特征检测方法
Cobalt Strikechecksum8 URI、命名管道\\msagent_*、JARM已公开JARM+管道+Beaconing+注入链
SliverProtobuf编码、管道\\postex_*、多传输管道+协议指纹
HavocJA3可识别、默认特征明显JA3+Beaconing
MetasploitTLV协议、4字符校验和URIURI模式+协议结构
CS checksum8 检测:遍历HTTP URI计算checksum8,匹配92/93 = CS staging请求
Malleable C2不可变结构:GET/POST交替+固定间隔,即使自定义HTTP特征也无法改变
🌐 DNS 隧道 + DGA 检测
DGA 五维检测:
1. Shannon熵 > 3.5(高熵随机域名)
2. 子域长度 > 15
3. 数字占比 > 50%
4. 元音占比 < 15%(DGA域名元音少)
5. 正则匹配(长十六进制串/Base64模式)
综合评分 ≥ 50 → 标记可疑
DNS隧道六特征:高频周期查询 + 子域>50字符 + 高熵(>4.5) + TXT/NULL响应 + 极短TTL + NXDOMAIN率>80%
v3 新增检测维度(9项)
checksum8 URI检测检测CS默认staging URI
命名管道检测CS/Sliver默认管道模式
进程注入检测链Sysmon 10→8→17→3 四事件序列
EDRChoker检测WMI QoS策略滥用致EDR失明
SleepMask检测Beacon休眠时自我加密内存
域前置检测SNI vs Host头不匹配
IMPHASH追踪检测重命名恶意软件变种
NTFS ADS检测交替数据流隐藏载荷
傅里叶Beaconing频域分析检测大Jitter(40%+)
📚 技术资料汇总(40篇)

完整40篇参考资料已保存到 僵尸网络自检-技术深度调研附录.md

开源项目10 个
技术文章/指南30 篇
覆盖领域Beaconing算法/TLS指纹/Sysmon/YARA/Sigma/内存取证/C2检测/DNS检测/持久化
总览
检测模块
数据采集
分析方法
开发计划
SOP流程
参考资料
技术深度