This is an info Alert.
⌘K
  • Главная
  • Новости
  • Блог
  • Релизы
  • История LLM
  • Сравнение LLM
  • Библиотека
  • Обо мне
Вход

Блог и заметки о разработке. Для связи удобнее всего использовать соцсети ниже.

Документы
Условия использованияПолитика конфиденциальности
Контакты
talalaev.misha@gmail.com

© Все права защищены.

ИИ-агент для анализа вредоноса: песочница на QEMU и LLM-реверс-инжиниринг

Sh0ny
Sh0ny
10 июля 2026
  1. Главная
  2. Блог
  3. ИИ-агент для анализа вредоноса: песочница на QEMU и LLM-реверс-инжиниринг
2 мин чтения

Коротко

Автор эксперимента на Хабре проверил, способен ли LLM-агент в связке с изолированной виртуальной машиной и классическими инструментами анализа ВПО заменить реверс-инженера на этапе первичного исследования. Результат — рабочий pipeline от запуска образца до отчёта через Ghidra.

На Хабре опубликован разбор эксперимента, в котором связка из изолированной виртуальной машины, классических инструментов анализа вредоносного ПО и LLM-агента (Codex) применялась для глубокого разбора конкретного образца. Цель — не потоковый анализ, а быстрый первичный ответ для исследователя, по которому реверс-инженер решает, стоит ли погружаться дальше.

Гипотеза

Автор предположил, что при контролируемом доступе к инструментам анализа Codex сможет провести первичное исследование: найти компрометирующие участки в бинарнике, сопоставить динамические и статические данные, сформировать выводы и отчёты. По итогам — спойлер: смог. При этом человек оставил за собой ключевые решения: изоляцию VM, выбор эталонного снэпшота и момент запуска динамического исследования.

Архитектура

Система разделена на две зоны — Linux-хост и гостевая Windows 11 VM. Главное правило: максимум данных снимается со стороны хоста. Гостевая система после запуска ВПО считается потенциально скомпрометированной, поэтому данные из неё помечаются как недоверенные.

Внутри VM — минимальный набор: агент запуска, PowerShell-скрипты, конфигурация Sysmon, каталог приёма образца и механизм записи базовых артефактов. Сетевые каналы, общие папки и drag-and-drop отключены.

На хосте сосредоточена основная оркестрация:

  • создание диска от эталонного снэпшота;
  • подключение виртуального съёмного носителя к VM;
  • запуск VM через libvirt;
  • захват PCAP;
  • снятие дампа памяти;
  • анализ через Volatility 3;
  • статический анализ через Ghidra с Ghidra MCP;
  • генерация отчётов.

Почему QEMU/libvirt

Выбор пал на QEMU/libvirt, так как связка даёт низкоуровневый контроль над жизненным циклом виртуальной машины. Дамп памяти, PCAP и анализ Volatility 3 на хосте — не каприз, а необходимость: гость считается полностью скомпрометированным, и задача — провести анализ поражённой цели снаружи.

Что досталось агенту

Codex взял на себя черновую, но содержательную работу: подготовку скриптов, проверку окружения, запуск pipeline передачи образца из карантина в VM, обработку артефактов, анализ дампа памяти, импорт в Ghidra и формирование отчётов. Автор подчёркивает, что ИИ не заменяет специалиста — особенно в информационной безопасности его работу необходимо контролировать.

Источник: Все статьи подряд / Искусственный интеллект / Хабр

новостибезопасностьaiагенты
Понравился разбор? Получайте такие раз в неделю на почту
​

Комментарии

(0)
​