NullBlood04/Image-Malware-Analyser
GitHub: NullBlood04/Image-Malware-Analyser
一款基于 Python 的图像恶意软件取证分析工具,通过整合 YARA 规则匹配和多个外部取证工具,自动检测图像文件中嵌入的隐藏载荷与可疑指标。
Stars: 0 | Forks: 0
# Image Malware 分析器
## 概述
**Image Malware Analyzer** 是一款轻量级的取证与恶意软件扫描工具,旨在检查图像文件是否存在可疑指标,例如隐藏的 payload、恶意元数据、结构异常以及 YARA 规则匹配。
本项目专注于使用静态分析、外部取证工具和基于规则的检测,对基于图像的威胁进行实际的恶意软件分类。
此工具适用于:
- 网络安全学生
- 恶意软件分析师
- DFIR 调查
- 威胁狩猎
- 安全文件分类
# 项目目标
确定图像文件属于以下哪种情况:
- 安全 / 良性
- 可疑
- 潜在恶意
- 嵌入了隐藏的 payload
# 项目结构
```
image-malware-analyzer/
Utilities/
│
├── __init__.py
├── scanner.py
├── utils.py
├── extWrapperTools.py
├── yaraRules.py
├── yaraUtils.py
├── reportingUtils.py
yara_rules/
├── mz_in_image.yar
│
└── main.py
```
# 文件描述
## `scanner.py`
项目的主执行引擎。
### 职责:
* 接收目标图像文件输入
* 协调扫描工作流
* 调用工具模块
* 执行分析序列
* 生成最终检测结论
## `utils.py`
核心辅助函数,用于:
* 文件验证
* 哈希生成(MD5/SHA256)
* 文件类型检查
* 元数据提取
* 熵值或字符串提取支持
## `extWrapperTools.py`
外部安全工具的封装器,包括:
* Binwalk
* EXIFTool
* Strings
* 其他基于 CLI 的扫描器
### 目的:
为外部恶意软件和取证实用程序提供 Python 集成。
## `yaraRules.py`
存储或管理自定义 YARA 签名。
### 用于:
* 检测已知的恶意模式
* 嵌入的可执行文件
* 可疑字符串
* 混淆指标
## `yaraUtils.py`
处理 YARA 操作:
* 编译规则
* 运行扫描
* 匹配签名
* 返回警报
## `reportingUtils.py`
负责:
* 格式化扫描结果
* 风险评分
* 威胁摘要
* 最终报告生成
# 核心工作流
```
Input Image
↓
scanner.py
↓
utils.py → Basic validation + metadata
↓
extWrapperTools.py → External forensic tools
↓
yaraUtils.py + yaraRules.py → Signature matching
↓
reportingUtils.py → Final report
```
# 功能特性
## 静态文件分析
* 文件类型验证
* 哈希生成
* 元数据检查
* 外部工具集成
## 恶意软件检测
* YARA 签名匹配
* 隐藏的 payload 指标
* 可疑字符串
* 结构异常
## 报告
* 威胁分类
* 检测摘要
* 对分析师友好的输出
# 安装说明
## 克隆仓库
```
git clone https://github.com/yourusername/image-malware-analyzer.git
cd image-malware-analyzer
```
## 安装 Python 依赖
```
pip install -r requirements.txt
```
# 外部依赖
根据 `extWrapperTools.py` 中的实现,需安装:
* Binwalk
* YARA
* EXIFTool
示例:
```
sudo apt install binwalk yara exiftool
```
# 使用方法
## 运行基本扫描
```
python main.py file folder/suspicious.png --outdir
```
# 检测逻辑
扫描器可能会标记以下内容:
* 附加的二进制文件
* 嵌入的可执行文件
* 恶意元数据
* 打包的 payload
* 可疑签名
* 通过 YARA 检测到的已知恶意软件家族
# 示例用例
* 伪装成图像的恶意软件
* 可疑的电子邮件附件
* CTF 取证分析
* DFIR 工件分类
* 隐写术预筛查
# 免责声明
本项目旨在用于:
* 教育目的
* 恶意软件研究
* 防御性安全
* 数字取证
请勿用于未经授权或恶意的活动。
# 作者
**Hariharan Sreedharan**
网络安全学生 | 恶意软件分析爱好者
# 许可证
MIT License
## 最后说明
**并非每张图像都只是一张图像——有些可能携带着隐藏的威胁。**
标签:Binwalk, DAST, DNS信息、DNS暴力破解, DNS 反向解析, EXIFTool, GraphQL安全矩阵, Payload提取, Python安全工具, YARA规则, 二进制分析, 云安全监控, 云安全运维, 元数据分析, 哈希校验, 图像文件检测, 安全扫描器, 恶意软件分析, 搜索语句(dork), 数字取证, 文件安全, 文件隐写分析, 熵分析, 网络信息收集, 网络安全, 自动化脚本, 逆向工具, 隐写术, 隐私保护, 静态分析