🛡️ 僵尸网络自检

双端项目方案 v1.0
10
PC模块
8
Android模块
14
共享IoC
2
独立项目
💻 BotGuard-PC
平台Windows 10/11
语言Python 3.10+
检测深度5层
扫描时长2-15分钟
安装包<50MB
📱 BotGuard-Android
平台Android 8.0+
语言Kotlin
检测深度3层
扫描时长30秒-2分钟
安装包<15MB

📊 项目进度

方案设计✅ 完成
威胁情报调研✅ 完成
多维度框架✅ 完成
专家评审✅ 完成
双端方案拆分✅ 完成
PC端 MVP 编码⏳ 待开始
Android端 MVP 编码⏳ 待开始

总体进度约 50%

🔗 共享资源层

两个项目独立开发,但共享以下资源:

IoC数据库 YARA规则 ATT&CK映射表 威胁情报API 家族特征库 Beaconing算法 DGA检测算法 风险评分模型 白名单模板

📋 已产出文档

设计思路 v2
信息收集策划方案
多维度分析框架
维度框架优化方案
技术深度调研附录
资料查找方案 v2
多专家联合评审
双端项目方案(本文档)✅ 新

🎯 下一步行动

P0 确认方案,开始第一期 MVP 编码
P0 搭建共享资源仓库(IoC/规则/映射表)
P1 PC端:M1网络+M2进程+M3持久化
P1 Android端:A2应用+A3持久化+A5行为+A6环境
P2 执行资料查找(55-65次搜索)

💻 BotGuard-PC

Windows 端 10大模块

检测模块

M1 网络连接审计 P0

外连IP/端口枚举 · Beaconing检测(CV变异系数) · DoT(853端口) · IRC(6667) · 代理链路 · TLS指纹(JARM) · SSL证书分析

ATT&CK: T1071.001 / T1071.004 / T1571

M2 进程审计 P0

临时目录进程 · 伪装系统进程 · 数字签名验证 · 进程注入(RWX内存) · 父子链异常 · 进程名相似度 · OOM保护检测

M3 持久化审计 P0

14项全覆盖:

#检查项ATT&CK
1-2HKLM/HKCU RunT1547.001
3Winlogon ShellT1547.002
4AppInit_DLLsT1546.010
5BootExecuteT1547.003
6IFEO劫持T1546.012
7COM劫持T1546.015
8计划任务T1053
9-10服务+svchostT1543.003
11启动文件夹T1547.001
12WMI订阅T1546.003
13-14屏保+AppCertDLLsT1546
M4 DNS/Hosts审计 P1

Hosts篡改 · DNS缓存异常 · DGA检测(熵值>3.5) · DNS隧道(超长子域名) · DoT(853) · OpenNIC域名

M5 文件系统审计 P1

系统目录未知文件 · 高熵检测(>7.0) · 隐藏文件 · 哈希比对(VT) · YARA规则扫描 · 文件名随机化

M6 系统行为审计 P1

空闲流量异常 · CPU>30%持续5min · SMTP端口(25/465/587) · 事件日志(4624/4625/4688/4104/7045) · 横向扫描 · PowerShell异常

M7 威胁情报比对 P1

VirusTotal · AbuseIPDB · OTX · ThreatFox · MISP · 绿盟通报 · CNCERT

M8 TLS指纹分析 P2

JARM指纹匹配C2集群 · SSL证书(自签名/异常CN) · TLS1.3+PSK · DoT/DoH

M9 ATT&CK映射引擎 P2

20+技术映射 · 攻击链重建 · 家族TTP比对 · 热力图输出

M10 基线对比+ML P3

干净基线差异 · Hilbert+CNN(98.34%) · GNN(95%) · EROIKA(99.61%)

🔧 技术选型

语言Python 3.10+
进程/网络psutil
注册表winreg
威胁情报requests (VT/OTX)
TLS分析ssl + pyOpenSSL
YARAyara-python
报告jinja2 (HTML)
MLscikit-learn/PyTorch
打包PyInstaller

📅 开发计划

第一期 MVP

第二期 情报增强

第三期 行为分析

第四期 智能检测

📱 BotGuard-Android

Android 端 8大模块

Android 威胁态势

家族规模传播能力
🟢 Kimwolf v7200万+ADB暴破DDoS/代理/区块链C2/Tor
🟢 Vo1d130万+恶意商店系统分区植入
🟡 BTMOB活跃钓鱼/捆绑远控/无障碍劫持
🟡 Rafel RAT活跃钓鱼/捆绑保活/防卸载
🟡 Anubis银行欺诈钓鱼应用键盘记录/Overlay
🟡 Cerberus银行欺诈钓鱼应用无障碍/2FA拦截

检测模块

A1 网络连接审计 P1

外连IP/域名+IoC比对 · Beaconing(CV法) · DoT(853端口·Kimwolf) · 代理/SOCKS检测 · Ethereum RPC(区块链C2) · Tor连接 · VPN异常

⚠️ 无Root无法抓包内容,依赖流量统计+IoC比对
A2 应用与进程审计 P0

高危权限组合检测:

权限组合风险威胁
ACCESSIBILITY+INTERNET🔴UI劫持
READ_SMS+SEND_SMS+INET🔴SMS拦截
DEVICE_ADMIN+INTERNET🔴防卸载
CAMERA+AUDIO+INTERNET🟠间谍软件
INSTALL_PACKAGES+INET🟠恶意安装

伪装系统应用 · 隐藏图标 · 伪卸载 · 签名验证 · DexClassLoader动态加载 · 多进程守护

A3 持久化审计 P0

Android专属12项:

#检查项风险
1设备管理器滥用🔴防卸载
2无障碍服务滥用🔴UI劫持
3开机自启广播🟠自启动
4前台服务保活🟠常驻
5JobScheduler滥用🟠定时唤醒
6AlarmManager定时🟠定时唤醒
7电池优化白名单🟠免休眠
8唤醒锁滥用🟠防休眠
9系统级持久化🔴系统级
10/data/local/tmp残留🟠Kimwolf
11覆盖窗口权限🟠Overlay
12通知监听服务🟠通知劫持
⚠️ Kimwolf专属检测:
进程: netd_services/tv_helper/kw_service
Socket: @niggaboxv[数字]
文件: libkw.so/kwd/tmp/.kw
C2: Ethereum RPC/ENS域名/Tor:23075
A4 文件系统审计 P1

/data/local/tmp/可疑ELF · /system/bin/非标准二进制 · Download/可疑APK · 隐藏文件 · APK哈希比对(VT) · APK权限静态分析 · 签名验证

A5 系统行为审计 P0

异常流量(空闲外发) · 电池消耗(后台>10%/h) · 数据流量(后台>500KB/min) · SMS发送 · CPU占用 · 截图/录音 · ADB调试状态 · 5555端口暴露 · 开发者选项

A6 Root与环境检测 P0

Root状态(su/Magisk/SuperSU) · /system修改 · 模拟器检测 · 调试器附加 · Xposed/LSPosed · Frida注入 · SELinux状态 · Verified Boot

A7 威胁情报比对 P1

VirusTotal APK哈希查询 · AbuseIPDB IP信誉 · 本地IoC库(Kimwolf/Vo1d/BTMOB) · DGA检测 · ENS域名检测

Kimwolf C2 IoC: 14emeliaterracewestroxburyma02132.su rtrdedge1.samsungcdn.cloud staging.pproxy1.fun api.groksearch.net pawsatyou.eth (ENS) 93.95.112.50-55
A8 ATT&CK映射与报告 P2

Mobile ATT&CK 14+技术映射 · 攻击链重建 · 家族匹配 · 热力图

🔧 技术选型

语言Kotlin 1.9+
UIJetpack Compose + M3
架构MVVM + Clean Arch
网络OkHttp + Retrofit
DIHilt
数据库Room
APK分析Androguard
Root命令libsu
最低SDKAPI 26 (8.0)

🔄 运行模式

无Root普通用户

应用审计/权限检测/持久化部分检测/行为审计/情报比对

ADB模式技术用户

通过电脑ADB连接执行深度检测

Root模式开发者

全功能:系统文件/init.rc/dumpsys/进程/socket

📅 开发计划

第一期 MVP

第二期 情报增强

第三期 深度检测

⚖️ 双端对比

检测能力对比

💻 PC
📱 Android
网络审计
✅ 全量
✅ 有限
进程审计
✅ 全量
✅ 有限
持久化
✅ 14项
✅ 12项
文件审计
✅ 全量
✅ 有限
DNS审计
✅ 全量
⚠️ 有限
行为审计
✅ 全量
✅ 专属
内存取证
✅ Volatility
❌ 不支持
威胁情报
✅ 全量
✅ 共享
TLS指纹
✅ JARM
⚠️ 有限
ATT&CK
✅ Enterprise
✅ Mobile
基线对比
✅ 全量
✅ 应用级
ML检测
✅ 可选
❌ 不支持

开发资源对比

💻 PC
📱 Android
开发周期
4期
3期
开发人力
1-2人
1-2人
核心难点
内存取证/Beaconing/TLS
无Root限制/保活对抗
测试环境
Win虚拟机
模拟器+真机

多维度框架覆盖

维度💻 PC📱 Android
A1 感染路径10条6条
A2 攻击链7阶段7阶段
A3 恶意软件家族8个6个
A4 节点角色7种5种
B1 技术栈层级7层5层
B2 网络环境5种3种
B3 行为偏差6类4类
C1 用户场景6种3种
C2 检测时效3种2种
C3 风险优先级✅ 共享✅ 共享

判定阈值对比

检测项💻 PC📱 Android
Beaconing CV<0.3 且>20次<0.3 且>10次
文件熵值>7.0>7.0 (DEX)
CPU异常>30% 5min>20% 10min
网络异常>1MB/min>500KB/min
电池异常N/A>10%/h
DGA熵值>3.5>3.5

🔗 共享资源层

两个项目独立开发部署,共享以下资源,通过统一配置仓库管理

📁 共享仓库结构
shared-resources/ ├── ioc-database/ │ ├── c2-ip-blocklist.json │ ├── dga-domain-patterns.json │ ├── malware-hashes.json │ └── jarm-fingerprints.json ├── yara-rules/ ├── sigma-rules/ ├── attack-mapping/ ├── family-profiles/ │ ├── windows-families.json │ └── android-families.json ├── threat-intel-config/ └── whitelist-templates/ ├── windows-baseline.json └── android-baseline.json

共享组件

威胁情报API
VirusTotal / AbuseIPDB / OTX — PC用Python实现,Android用Kotlin实现,查询逻辑相同
IoC数据库
统一JSON Schema,各自平台解析器
YARA规则集
PC: yara-python / Android: yara-java(JNI,可选)
ATT&CK映射表
PC: Enterprise矩阵 / Android: Mobile矩阵
家族特征库
Windows: Emotet/TrickBot/CS等 / Android: Kimwolf/Vo1d/BTMOB等
Beaconing算法
CV变异系数法,两端共用逻辑
DGA检测算法
五维评分(熵/长度/数字比/元音比/正则)
风险评分模型
三维(严重性×紧迫性×置信度),两端共用

MVP验收标准

💻 PC
📱 Android
核心模块
M1+M2+M3
A2+A3+A5+A6
扫描时长
<5min
<2min
误报率
<10%
<15%
离线可用
✅核心
权限要求
管理员
无Root可用

报告结构(统一)

简版(普通用户)

详版(技术人员)

总览
PC端
Android端
对比
共享