r0xx3d/trigun

# Trigun  TRIGUN 或 triage gun 是一个旨在自动化基于 Windows 的恶意软件静态和动态分析的工具，以简化分类和 IOC 收集的过程。 该工具基于 PYTHON VERSION 3.13 开发，并在 Kali 虚拟机上进行了测试 设置工具： ``` $ ./setup.sh ``` 在 venv 内部 ``` python -m pip install -r requirements.txt export HA_API_KEY = "" export GROQ_API_KEY = "" ``` 运行静态分析并填充 027.txt 文件，并复制作业 ID 以获取混合分析数据 ``` $ ./trigun.sh /path/to/sample.exe | tee -a ./scripts/results/027.txt ``` 使用以下命令从 Hybrid Analysis API 获取动态分析数据： ``` $ ./ha_fetch_results.sh | tee -a ./scripts/results/027dynamic.txt ``` 生成反汇编数据 ``` $ cd scripts $ python disassembly_analysis.py /path/to/sample.exe --output ./results/027asm.txt ``` 生成报告（需要一些时间） ``` $ python report_gen.py ``` 最终的基于 HTML 的报告将生成在 ./scripts/results/ 目录中 ## 项目详情： ### 静态分析管道 * 利用各种指纹识别技术，例如 IMP Hashing、Section Hashing、Fuzzy Hashing，以及 md5 和 sha256 哈希算法。 * 字符串分析：提取字符串文本，例如 IP 地址、电子邮件、URL、加密钱包地址、勒索信等。 * 使用自定义 yara 脚本进行加壳检测。 * 使用自定义 yara 脚本进行加密签名检测。 * 使用 yara 脚本进行基于签名的恶意软件检测。 * 文件和节（Section）的香农熵计算。 * 导入和导出解析。 * 使用 r2pipe 和 Capstone 进行反汇编分析和可疑块提取。 * 集成管道通过 Groq API 使用 GPT-OSS 120B 模型生成报告，并为恶意软件的执行流程构建 CFG，以辅助手动分析过程。 * 利用静态分析、动态分析和反汇编分析的数据生成分类报告。 非常感谢下方提到的所有资源、工具和教程的提供者。

标签：DAST, DeepSeek, DLL 劫持, DNS信息、DNS暴力破解, DNS 反向解析, IOC提取, IP 地址批量处理, Python安全工具, Sysdig, Wayback Machine, Windows恶意软件, YARA规则, 云安全监控, 云资产清单, 加壳检测, 反汇编, 合规性检查, 哈希计算, 多模态安全, 大语言模型, 威胁情报, 库, 应急响应, 开发者工具, 恶意软件分析, 沙箱集成, 熵值分析, 网络信息收集, 自动化分析, 跨站脚本, 逆向工具, 逆向工程, 静态分析