xCyclopedia 开源项目教程

1. 项目介绍

xCyclopedia 是一个开源项目，旨在记录操作系统中所有可执行二进制文件（以及最终的脚本）。该项目提供了一个网页来查看数据，以及机器可读的格式（如 JSON 和 CSV），这些格式可以直接用于其他系统，如 SIEM（安全信息和事件管理），以丰富观察到的执行上下文数据。

xCyclopedia 的主要目标是提供一个全面的可执行文件数据库，包括运行时数据、文件元数据、数字签名有效性和相关元数据、文件哈希、模糊文件哈希、相似文件、外部引用以及已知的滥用示例。

2. 项目快速启动

2.1 环境准备

在开始之前，请确保您的系统上已安装以下工具：

• PowerShell
• ssdeep（用于获取模糊哈希）
• Sysinternals Handle（用于获取进程的打开句柄）
• Sysinternals Sigcheck（用于获取额外的文件哈希、VirusTotal 检测和 PE 机器类型）

2.2 克隆项目

首先，克隆 xCyclopedia 项目到本地：

git clone https://github.com/strontic/xcyclopedia.git
cd xcyclopedia

2.3 运行收集脚本

使用 PowerShell 运行收集脚本 Get-Xcyclopedia，该脚本会递归遍历指定目录中的所有可执行文件，并收集多种数据：

.\Get-Xcyclopedia.ps1 -save_path "c:\xCyclopedia\out\" -target_path "$env:windir\system32" -target_file_extension "exe"

2.4 合并 JSON 文件

收集完成后，可以使用 Coalesce-Json 脚本将多个 JSON 文件合并为一个文件：

.\Coalesce-Json.ps1 -save_path "c:\xCyclopedia\out\" -target_files "c:\temp\A.json", "c:\temp\B.json"

3. 应用案例和最佳实践

3.1 安全信息和事件管理（SIEM）

xCyclopedia 的数据可以直接导入到 SIEM 系统中，以丰富观察到的执行上下文数据。例如，可以使用 xCyclopedia 的 JSON 输出文件来增强 SIEM 中的事件日志，提供更详细的可执行文件信息。

3.2 恶意软件分析

安全研究人员可以使用 xCyclopedia 的数据来分析恶意软件的行为。通过比较已知恶意软件的哈希值和 xCyclopedia 中的数据，可以快速识别出潜在的恶意行为。

3.3 合规性检查

企业可以使用 xCyclopedia 来检查其系统中安装的可执行文件是否符合合规性要求。通过与 xCyclopedia 中的数据进行比较，可以确保所有安装的软件都是经过验证的。

4. 典型生态项目

4.1 Sysinternals 工具集

Sysinternals 工具集是 xCyclopedia 的重要依赖之一。特别是 Sigcheck 工具，用于获取额外的文件哈希、VirusTotal 检测和 PE 机器类型。

4.2 VirusTotal

VirusTotal 是一个在线服务，用于分析可疑文件和 URL，以检测恶意软件。xCyclopedia 可以使用 VirusTotal 的 API 来获取文件的检测比率，从而增强其数据集。

4.3 Atomic Red Team

Atomic Red Team 是一个开源项目，提供了用于测试安全控制的小型、可移植的测试用例。xCyclopedia 可以与 Atomic Red Team 结合使用，以识别和分析已知的恶意行为。

通过这些模块的介绍和实践指南，您可以更好地理解和使用 xCyclopedia 项目，从而在安全分析和系统管理中获得更大的价值。