chainreactors
diff --git a/‎README.md‎
Lines changed: 64 additions & 65 deletions b/‎README.md‎
Lines changed: 64 additions & 65 deletions
diff --git a/‎docs/README.md‎
Lines changed: 34 additions & 0 deletions b/‎docs/README.md‎
Lines changed: 34 additions & 0 deletions
diff --git a/‎docs/architecture.md‎
Lines changed: 130 additions & 0 deletions b/‎docs/architecture.md‎
Lines changed: 130 additions & 0 deletions
diff --git a/‎docs/assets/showcase/tui/armory.gif‎
1.73 MB b/‎docs/assets/showcase/tui/armory.gif‎
1.73 MB
diff --git a/‎docs/assets/showcase/tui/completion.gif‎
1.9 MB b/‎docs/assets/showcase/tui/completion.gif‎
1.9 MB
diff --git a/‎docs/assets/showcase/tui/execute_exe.gif‎
133 KB b/‎docs/assets/showcase/tui/execute_exe.gif‎
133 KB
diff --git a/‎docs/assets/showcase/tui/load_addon.gif‎
113 KB b/‎docs/assets/showcase/tui/load_addon.gif‎
113 KB
diff --git a/‎docs/assets/showcase/tui/login.gif‎
264 KB b/‎docs/assets/showcase/tui/login.gif‎
264 KB
diff --git a/‎docs/assets/showcase/tui/tcp.gif‎
69.6 KB b/‎docs/assets/showcase/tui/tcp.gif‎
69.6 KB
diff --git a/‎docs/assets/showcase/tui/website.gif‎
69.5 KB b/‎docs/assets/showcase/tui/website.gif‎
69.5 KB
@@ -1,105 +1,104 @@
 # Malice Network
 
-blog posts:
+Malice Network 是 Internet of Malice（IoM）项目中的控制平面仓库，包含 `server`、`client` 和 `listener`。项目文档位于 `docs/` 目录。
+
+## Blog Posts
 
 - [v0.0.1 next generation C2 project](https://chainreactors.github.io/wiki/blog/2024/08/16/%E4%B8%80%E4%B8%8B%E4%BB%A3c2%E8%AE%A1%E5%88%92-----internal-of-malice/)
 - [v0.0.2 the Real Beginning](https://chainreactors.github.io/wiki/blog/2024/09/23/IoM_v0.0.2/)
 - [v0.0.3 RedTeam Infra&C2 framework](https://chainreactors.github.io/wiki/blog/2024/11/20/IoM_v0.0.3/)
 - [v0.0.4 Bootstrapping](https://chainreactors.github.io/wiki/blog/2025/01/02/IoM_v0.0.4/)
-- [v0.1.0 代替CobaltStrike的最后四块碎片](https://chainreactors.github.io/wiki/blog/2025/04/14/IoM_v0.1.0/)
-
-## Introduce
-
-IoM 是一个复杂而强大的基础设施, 包含了大量组件。 
-
-introduce: https://wiki.chainreactors.red/IoM/
-
-基本使用: https://chainreactors.github.io/wiki/IoM/quickstart/
+- [v0.1.0 代替 Cobalt Strike 的最后四块碎片](https://chainreactors.github.io/wiki/blog/2025/04/14/IoM_v0.1.0/)
 
-VScode GUI 安装: https://wiki.chainreactors.red/IoM/guideline/deploy/#%E5%AE%89%E8%A3%85gui
+## Docs
 
-插件编写 quickstart: https://chainreactors.github.io/wiki/IoM/manual/mal/quickstart/
+- 架构概览: [docs/architecture.md](docs/architecture.md)
+- 快速开始: [docs/getting-started.md](docs/getting-started.md)
+- Listener 与 Pipeline: [docs/server/listeners.md](docs/server/listeners.md)
+- 构建与 Profile: [docs/server/build.md](docs/server/build.md)
+- Client 命令总览: [docs/client/commands.md](docs/client/commands.md)
+- MAL 插件开发: [docs/development/mal/](docs/development/mal/)
+- Implant 说明: [docs/implant/overview.md](docs/implant/overview.md)
+- 路线图: [docs/roadmap.md](docs/roadmap.md)
+- 部署指南: [docs/deployment.md](docs/deployment.md)
+- 后渗透操作: [docs/post-exploitation.md](docs/post-exploitation.md)
 
-implant 仓库: https://github.com/chainreactors/malefic
+## References
 
-implant 基本介绍: https://chainreactors.github.io/wiki/IoM/manual/implant/
-
-## Roadmap
-
-https://chainreactors.github.io/wiki/IoM/roadmap/
+- Releases: <https://github.com/chainreactors/malice-network/releases/latest>
+- Implant repo: <https://github.com/chainreactors/malefic>
+- 自定义 Listener / LLM Bridge: [docs/custom-pipeline-guide.md](docs/custom-pipeline-guide.md)
 
 ## Showcases
 
-### WEBUI
+### Web UI
+
 <summary>Dashboard</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/WEBUI/dashboard.png"/>
+<img src="docs/assets/showcase/webui/dashboard.png"/>
 
-<summary>sessions</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/WEBUI/sessions.png"/>
+<summary>Sessions</summary>
+<img src="docs/assets/showcase/webui/sessions.png"/>
 
-<summary>listeners</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/WEBUI/listeners.png"/>
+<summary>Listeners</summary>
+<img src="docs/assets/showcase/webui/listeners.png"/>
 
 <summary>Interactive</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/WEBUI/interactive.png"/>
+<img src="docs/assets/showcase/webui/interactive.png"/>
 
-<summary>artifacts</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/WEBUI/artifacts.png"/>
+<summary>Artifacts</summary>
+<img src="docs/assets/showcase/webui/artifacts.png"/>
 
-<summary>settings</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/WEBUI/settings.png"/>
+<summary>Settings</summary>
+<img src="docs/assets/showcase/webui/settings.png"/>
 
+### VSCode GUI
 
-### VScode GUI
-<summary>session</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/session_gui.jpg"/>
+<summary>Session</summary>
+<img src="docs/assets/showcase/vscode/session_gui.jpg"/>
 
-<summary>pipeline</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/pipeline_gui.png"/>
+<summary>Pipeline</summary>
+<img src="docs/assets/showcase/vscode/pipeline_gui.png"/>
 
-<summary>website</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/website_gui.png"/>
+<summary>Website</summary>
+<img src="docs/assets/showcase/vscode/website_gui.png"/>
 
-<summary>artifact</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/artifact_gui.png"/>
+<summary>Artifact</summary>
+<img src="docs/assets/showcase/vscode/artifact_gui.png"/>
 
-<summary>third party</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/third_party_gui.png"/>
+<summary>Third Party</summary>
+<img src="docs/assets/showcase/vscode/third_party_gui.png"/>
 
-<summary>use session</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/use_session_gui.png"/>
+<summary>Use Session</summary>
+<img src="docs/assets/showcase/vscode/use_session_gui.png"/>
 
-<summary>task</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/task_gui.png"/>
+<summary>Task</summary>
+<img src="docs/assets/showcase/vscode/task_gui.png"/>
 
-<summary>netstat</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/netstat_gui.png"/>
+<summary>Netstat</summary>
+<img src="docs/assets/showcase/vscode/netstat_gui.png"/>
 
-<summary>services</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/services_gui.png"/>
-
-------
+<summary>Services</summary>
+<img src="docs/assets/showcase/vscode/services_gui.png"/>
 
 ### TUI
 
-<summary>console</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/completion.gif"/>
-
-<summary>login</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/login.gif"/>
+<summary>Console</summary>
+<img src="docs/assets/showcase/tui/completion.gif"/>
 
-<summary>tcp</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/tcp.gif"/>
+<summary>Login</summary>
+<img src="docs/assets/showcase/tui/login.gif"/>
 
-<summary>website</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/website.gif"/>
+<summary>TCP</summary>
+<img src="docs/assets/showcase/tui/tcp.gif"/>
 
-<summary>execute_exe</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/execute_exe.gif"/>
+<summary>Website</summary>
+<img src="docs/assets/showcase/tui/website.gif"/>
 
-<summary>load_addon</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/load_addon.gif"/>
+<summary>Execute EXE</summary>
+<img src="docs/assets/showcase/tui/execute_exe.gif"/>
 
-<summary>armory</summary>
-<img src="https://github.com/chainreactors/wiki/blob/master/docs/IoM/assets/armory.gif"/>
+<summary>Load Addon</summary>
+<img src="docs/assets/showcase/tui/load_addon.gif"/>
 
+<summary>Armory</summary>
+<img src="docs/assets/showcase/tui/armory.gif"/>
@@ -0,0 +1,34 @@
+# Malice Network 文档
+
+本目录包含 Malice Network 的完整文档。
+
+## 核心文档
+
+- [架构概览](architecture.md) - 系统架构与组件说明
+- [快速开始](getting-started.md) - 安装部署与首次使用
+- [部署指南](deployment.md) - Server/Client 详细部署说明
+- [路线图](roadmap.md) - 项目方向与里程碑
+
+## 使用指南
+
+- [后渗透操作](post-exploitation.md) - 会话管理与后渗透命令完整手册
+- [Client 命令](client/commands.md) - Client 命令总览
+- [Listener 与 Pipeline](server/listeners.md) - Listener 配置与管理
+- [构建与 Profile](server/build.md) - Artifact 构建流程
+- [Implant 概览](implant/overview.md) - Implant 家族说明
+
+## 开发文档
+
+- [MAL 插件开发](development/mal/) - 完整的 MAL 插件开发文档
+  - 快速开始、Builtin API、Beacon API、RPC API、Embed API
+- [自定义 Pipeline](custom-pipeline-guide.md) - 自定义 Pipeline 开发指南
+
+## 高级主题
+
+- [Agent Skills 提案](proposal-agent-skills.md)
+- [LLM C2 提案](proposal-llm-c2-zh.md)
+- [Agent Bridge 协议](protocol/agent-bridge.md)
+
+## 测试文档
+
+- [测试文档](tests/) - 测试相关文档与记录
@@ -0,0 +1,130 @@
+# Malice Network 架构概览
+
+本文档描述 `malice-network` 当前已实现的控制平面架构。
+
+`malice-network` 不是浏览器前端驱动的系统，其核心由 `CLI/TUI Client`、`gRPC/mTLS`、`Server`、`Listener` 和 `Implant` 组成。
+
+## 相关文档
+
+- 快速开始: [getting-started.md](getting-started.md)
+- Listener 与 Pipeline: [server/listeners.md](server/listeners.md)
+- 构建与 Profile: [server/build.md](server/build.md)
+- Client 命令总览: [client/commands.md](client/commands.md)
+- Implant 概览: [implant/overview.md](implant/overview.md)
+
+## 组件速览
+
+| 组件 | 作用 | 仓库位置 |
+| --- | --- | --- |
+| Client | CLI/TUI 操作入口，负责登录、命令派发、会话切换、插件和本地集成 | `client/` |
+| Server | 状态管理、任务编排、RPC 服务、审计、通知、构建控制 | `server/` |
+| Listener | 与 implant 建立实际通信，承载 TCP/HTTP/REM/Website/Custom 等 Pipeline | `server/listener/` |
+| Pipeline | Listener 下的具体传输实现，负责协议封装、解析和路由 | `server/listener/*.go` |
+| Implant | 目标侧执行体，当前默认是 `malefic` 家族 | 外部仓库 `chainreactors/malefic` |
+| Session | 单个 implant 的运行时状态、任务、缓存和连接生命周期 | `server/internal/core/` |
+| MAL | client 侧脚本 / 插件扩展机制，用于自动化、命令编排和集成 | `client/command/mal`、`client/plugin/` |
+
+## 应用层架构
+
+```text
+【操作层】【红队操作员】【自动化脚本】【MCP Client】【AI 调用方】
+
+【接入层】【CLI/TUI Client】【LocalRPC】【MCP SSE】【登录认证】【上下文切换】
+
+【控制层】【Cobra 命令树】【Session 管理】【Listener/Pipeline 管理】【Build/Profile/Artifact】【Plugin/MAL/Addon】
+
+【接口层】【MaliceRPC】【RootRPC】【ListenerRPC】【gRPC/mTLS】【Proto/IoM-go】
+
+【服务层】【RPC Handlers】【Core Runtime】【Task/Session 状态机】【Audit/Notify】【LLM Bridge】【Config/Cert】
+
+【执行层】【TCP/HTTP/Bind/REM/Website Listener】【Spite/Parser】【Implant Module 调度】【Mutant/Generate】【任务落盘】
+
+【资源层】【SQLite/PostgreSQL】【Context 目录】【证书资产】【嵌入式 intl/mal 资源】【external 子模块】
+```
+
+### 应用层说明
+
+- `client/` 承担接入层和控制层职责，负责命令树、交互界面、会话切换、插件调用、`MCP`/`LocalRPC` 暴露。
+- `server/rpc/` 是接口层入口，对外提供 `MaliceRPC`、`RootRPC`、`ListenerRPC` 三类 gRPC 服务。
+- `server/internal/core/` 是服务层核心，负责 `Session`、`Task`、`Pipeline`、缓存、回调和运行时编排。
+- `server/listener/` 属于执行层，负责 `TCP`、`HTTP`、`Bind`、`REM`、`Website` 等管线的注册与启动。
+- `server/internal/db/` 和上下文目录共同构成资源层，分别承载结构化状态和运行时文件资产。
+- `helper/intl/`、`helper/intermediate/`、`helper/cryptography/` 等为全局共享能力，贯穿控制层到执行层。
+
+## 数据层架构
+
+```text
+【数据来源层】【Operator 命令】【Implant 注册/心跳】【任务结果】【插件输出】【构建产物】【Website 内容】
+
+【协议封装层】【Proto Message】【Event】【TaskContext】【Spite】【LocalRPC/MCP Payload】
+
+【缓冲层】【Session Cache】【Task 回调映射】【Pipeline Channel】【gRPC Stream】【上下文缓存目录】
+
+【处理层】【RPC Handler】【Core Session/Task Runtime】【Parser/Intermediate Callback】【Audit/Notify】【LLM Proxy】
+
+【持久化层】【Session/Task/Pipeline/Profile/Artifact/Context/Website】【SQLite/PostgreSQL】【磁盘缓存与下载目录】
+
+【访问层】【CLI/TUI 输出】【LocalRPC】【MCP Tool/Resource】【Listener 控制流】【配置与证书读取】
+
+【消费层】【操作员终端】【自动化脚本】【外部集成】【AI Agent】【插件生态】
+```
+
+### 数据层说明
+
+- 操作命令、implant 回连、任务执行结果、插件输出和构建结果，都会进入统一的协议封装路径。
+- 协议主干以 `Proto + Spite + Event + TaskContext` 为中心，在 `gRPC`、`Listener Stream`、`LocalRPC` 之间流转。
+- `server/internal/core/` 在处理中承担“状态机 + 回调路由 + 任务编排”的角色，是数据流的中枢。
+- `server/internal/parser/` 与 `helper/intermediate/` 负责将底层返回结果转成可展示、可消费的数据。
+- `server/internal/db/` 存结构化对象，`server/internal/configs.ContextPath` 下的目录存缓存、下载、截图、请求、任务等文件型数据。
+- 最终消费方并不只是 CLI，还包括 `MCP` 客户端、自动化脚本和基于 `LocalRPC` 的外部程序集成。
+
+## Mermaid 视图
+
+### 应用层 Mermaid
+
+```mermaid
+flowchart TB
+    A[操作层<br/>Operator / Script / MCP / AI] --> B[接入层<br/>CLI/TUI Client<br/>LocalRPC / MCP SSE]
+    B --> C[控制层<br/>Command Tree / Session / Listener / Build / Plugin]
+    C --> D[接口层<br/>MaliceRPC / RootRPC / ListenerRPC<br/>gRPC + mTLS]
+    D --> E[服务层<br/>RPC Handlers / Core Runtime<br/>Audit / Notify / LLM Bridge]
+    E --> F[执行层<br/>Listener Runtime / Parser / Implant Dispatch]
+    F --> G[资源层<br/>SQLite or PostgreSQL<br/>Context Files / Certs / Embedded Resources]
+```
+
+### 数据层 Mermaid
+
+```mermaid
+flowchart LR
+    A[数据来源层<br/>Operator / Implant / Plugin / Artifact] --> B[协议封装层<br/>Proto / Spite / Event / TaskContext]
+    B --> C[缓冲层<br/>Cache / Callback Map / Stream / Pipeline Channel]
+    C --> D[处理层<br/>RPC / Core / Parser / Audit / Notify / LLM]
+    D --> E[持久化层<br/>DB Models / Context Files]
+    E --> F[访问层<br/>CLI/TUI / LocalRPC / MCP / Listener Control]
+    F --> G[消费层<br/>Operator / Script / Integration / AI Agent]
+```
+
+## 目录到架构层映射
+
+| 目录 | 主要职责 | 对应层 |
+| --- | --- | --- |
+| `client/cmd/cli` | 客户端启动入口与命令装配 | 接入层 |
+| `client/command` | Cobra 命令树与交互控制 | 控制层 |
+| `client/core` | 客户端状态、事件处理、`LocalRPC`、`MCP`、AI 调用 | 接入层 / 控制层 |
+| `client/plugin` | 插件运行时、Lua/Yaegi 桥接 | 控制层 |
+| `server/rpc` | gRPC 服务注册与 RPC Handler | 接口层 / 服务层 |
+| `server/internal/core` | `Session`、`Task`、`Pipeline`、缓存、运行时状态机 | 服务层 |
+| `server/listener` | Listener 生命周期与执行管线 | 执行层 |
+| `server/internal/parser` | 协议解析与消息转换 | 执行层 / 数据处理层 |
+| `server/internal/db` | 数据模型、持久化、迁移、数据库适配 | 持久化层 / 资源层 |
+| `server/internal/audit` | 审计记录聚合 | 服务层 / 数据处理层 |
+| `server/internal/notify` | 外部通知分发 | 服务层 |
+| `server/internal/llm` | LLM Provider 代理桥接 | 服务层 |
+| `helper/intl` | 内置 `mal` 插件与资源 | 控制层 / 资源层 |
+| `helper/intermediate` | 任务输出回调与中间层函数 | 数据处理层 |
+| `helper/cryptography` | 加密与证书相关能力 | 服务层 / 资源层 |
+| `external/IoM-go` | Proto、gRPC stub、常量与客户端依赖 | 接口层基础设施 |
+
+## 一句话总结
+
+`malice-network` 的核心形态可以概括成一句话：`Client` 负责操作与编排，`Server` 负责控制与状态，`Listener/Pipeline` 负责投递与连接，`Implant` 负责执行，`DB + Context Files` 负责沉淀结果。