Коротко
Автор эксперимента на Хабре проверил, способен ли LLM-агент в связке с изолированной виртуальной машиной и классическими инструментами анализа ВПО заменить реверс-инженера на этапе первичного исследования. Результат — рабочий pipeline от запуска образца до отчёта через Ghidra.
На Хабре опубликован разбор эксперимента, в котором связка из изолированной виртуальной машины, классических инструментов анализа вредоносного ПО и LLM-агента (Codex) применялась для глубокого разбора конкретного образца. Цель — не потоковый анализ, а быстрый первичный ответ для исследователя, по которому реверс-инженер решает, стоит ли погружаться дальше.
Автор предположил, что при контролируемом доступе к инструментам анализа Codex сможет провести первичное исследование: найти компрометирующие участки в бинарнике, сопоставить динамические и статические данные, сформировать выводы и отчёты. По итогам — спойлер: смог. При этом человек оставил за собой ключевые решения: изоляцию VM, выбор эталонного снэпшота и момент запуска динамического исследования.
Система разделена на две зоны — Linux-хост и гостевая Windows 11 VM. Главное правило: максимум данных снимается со стороны хоста. Гостевая система после запуска ВПО считается потенциально скомпрометированной, поэтому данные из неё помечаются как недоверенные.
Внутри VM — минимальный набор: агент запуска, PowerShell-скрипты, конфигурация Sysmon, каталог приёма образца и механизм записи базовых артефактов. Сетевые каналы, общие папки и drag-and-drop отключены.
На хосте сосредоточена основная оркестрация:
Выбор пал на QEMU/libvirt, так как связка даёт низкоуровневый контроль над жизненным циклом виртуальной машины. Дамп памяти, PCAP и анализ Volatility 3 на хосте — не каприз, а необходимость: гость считается полностью скомпрометированным, и задача — провести анализ поражённой цели снаружи.
Codex взял на себя черновую, но содержательную работу: подготовку скриптов, проверку окружения, запуск pipeline передачи образца из карантина в VM, обработку артефактов, анализ дампа памяти, импорт в Ghidra и формирование отчётов. Автор подчёркивает, что ИИ не заменяет специалиста — особенно в информационной безопасности его работу необходимо контролировать.
Источник: Все статьи подряд / Искусственный интеллект / Хабр