MalwLess 模拟工具使用手册

MalwLess 模拟工具使用手册

MalwLessTest Blue Team detections without running any attack.项目地址:https://gitcode.com/gh_mirrors/ma/MalwLess

一、项目目录结构及介绍

MalwLess 是一个用于模拟系统侵害或攻击行为的开源工具，无需实际执行进程或PoCs（Proof-of-Concept），专为测试蓝队检测和SIEM关联规则设计。下面是其基本的目录结构概述：

MalwLess/
├── conf            # 配置文件夹，可能存放一些通用配置。
├── sets            # 规则集文件夹，存储着不同场景下的模拟规则文件。
│   └── rule_test.json        # 示例规则集文件，用于测试默认设置。
├── src             # 源代码文件夹，包含了工具的主要实现。
├── GPL-3.0-license # 许可证文件，说明软件遵循的许可协议。
├── README.md       # 主要的项目说明文件，包括安装使用指导。
├── LICENSE         # 正式的许可证文本。
├── WRITING.md      # 规则写作指南，帮助用户创建自定义规则。
├── ...

二、项目启动文件介绍

MalwLess的主要执行文件是 malwless.exe。这是一个命令行工具，用户通过它来运行模拟测试。在下载最新发布版本后，可以通过以下方式直接从提升权限的命令提示符中运行它:

> malwless.exe

对于更复杂的用例，比如使用特定规则集文件，可以这样操作:

> malwless.exe -r your_pack.json

三、项目的配置文件介绍

在MalwLess中，规则文件扮演了核心配置的角色，特别是 rule_test.json 作为一个示例，展示了如何定义模拟攻击的行为。这些规则是以JSON格式编写的，便于理解与编辑。虽然没有单独列出一个“配置文件”作为传统意义上的应用配置，但规则集文件实际上起到了配置的作用，允许用户定制化模拟事件。

用户若需定制化配置，主要通过编写或修改规则集文件（如创建新的.json文件）来实现。每条规则通常包含事件源（如Sysmon或PowerShell）、类别以及描述等字段，以控制模拟的事件类型和细节。

总结，MalwLess的核心在于其规则集，这些动态的规则构成了它的配置基础，使得用户可以根据需要调整检测模拟的策略，而工具本身通过单一的执行文件提供交互界面，简化了使用流程。

MalwLessTest Blue Team detections without running any attack.项目地址:https://gitcode.com/gh_mirrors/ma/MalwLess