最新

嗨，HN，我是保罗。我正在构建Syd，这是一个优先离线的取证工作站，通过图形用户界面协调像YARA和Nmap这样的工具，使用本地的LLM分析结果而不泄露数据。它完全在本地运行——没有数据会被发送到云端，因此在处理敏感调查时非常安全。 这里有一个演示： [https://www.youtube.com/watch?v=8dQV3JbLrRE](https://www.youtube.com/watch?v=8dQV3JbLrRE)。 我之所以构建这个，是因为虽然像YARA这样的工具非常强大，但管理规则集和解码十六进制字符串的速度较慢。人工智能在解释恶意软件特征方面表现出色，但我无法将潜在的恶意软件或敏感日志粘贴到网页表单中，因为这会带来巨大的安全风险。我需要LLM的智能，但又希望保持与网络隔离的机器的隐私。 在技术实现上，它是基于Python 3构建的。我使用subprocess来管理扫描引擎的重负荷，以防止用户界面（使用CustomTkinter构建）冻结。“秘密武器”并不是AI本身，而是我编写的解析器，它将YARA的非结构化文本输出转换为本地LLM可以理解和推理的结构化JSON格式。 我一直在使用它对文件进行初步筛选，以便于自己的学习。在一个案例中，Syd标记了一个与“SilentBanker”规则匹配的文件，AI指出了特定的键盘记录API调用，节省了我大约20分钟的手动十六进制编辑。在链接的演示视频中，你可以看到这个工作流程：扫描一个目录，触发一个自定义的YARA规则，并让本地AI立即分析字符串。 通过这个过程，我了解到“AI封装”很简单，但AI协调却很困难——让工具输出干净的数据供LLM使用才是真正的挑战。我很想听听你们认为哪些静态分析工具（如PEStudio或Capa）对这样的工作站至关重要，或者你们目前是如何处理使用AI进行日志分析时的隐私风险的。

复古终端天气体验