deeps-blip/FTI

# 联邦威胁情报 (FTI) 联邦威胁情报 (FTI) 是一个使用 **Python** 和 **radare2** 构建的 **模块化静态恶意软件分析框架**。 它专注于在可复现的本地或容器化环境中进行 **可靠的函数发现、元数据提取和结构化报告生成**。 FTI 被设计为 **协作与联邦威胁情报研究的基础**，优先考虑稳定性、确定性和清晰的架构，而非激进或推测性的分析。 ## 核心目标 - 为恶意软件样本提供 **稳定的静态分析流水线** - 提取适用于下游情报任务的 **可验证特征** - 确保本地和 Docker 执行之间的 **确定性表现** - 作为未来联邦学习集成的 **基线平台** ## 功能特性 - 使用 **radare2** 进行静态恶意软件分析 - 可靠的函数枚举 (`aflj`) - 密码学文件元数据提取： - MD5 - SHA1 - SHA256 - 文件大小和熵计算 - 结构化 JSON 报告 - 每个样本的时间戳特征目录 - Docker 化执行以确保可复现性 - 模块间关注点清晰分离 ## 分析流水线 1. **样本摄取** - 从 `data/samples/` 读取二进制文件 2. **静态分析** - 使用 radare2 加载二进制文件 - 执行基础分析 (`aa`) 3. **函数提取** - 枚举已发现的函数 4. **元数据提取** - 哈希、大小、熵 5. **报告生成** - 将结构化 JSON 输出写入 `data/features/` 每个样本都会生成一个 **专用的、带时间戳的报告目录**。 ## 输出格式 data 文件夹下 features 文件夹中的 _{timestamp}/ ### 示例 `analysis.json` ``` { "file_metadata": { "binary_name": "sample.exe", "md5": "…", "sha1": "…", "sha256": "…", "size_bytes": 55296, "entropy": 6.03 }, "functions": [ { "name": "entry0", "offset": 4198400 } ], "risk": { "verdict": "baseline_analysis", "score": 0 } } ``` ### 本地快速上手 Requirements Python 3.11 或 3.12 (推荐) radare2 ## r2pipe # 安装说明 ``` pip install -r requirements.txt ``` # 运行分析 ``` python ingest_file.py ``` # 报告将被写入： ``` data/features/ ``` # Docker 使用方法 -构建并运行 ``` docker compose up --build ``` ## 注意事项 - `data/samples` 和 `data/features` 作为 Docker 卷挂载 - 生成的报告保存在主机文件系统中 - Docker 确保了可复现和隔离的执行环境 ## 已知限制 - 仅限静态分析（无动态执行） - 加壳或高度混淆的二进制文件可能产生有限的结果 - 尚未推断函数语义 - 联邦学习已规划但尚未实现 ## 路线图 - 函数行为分类 - 调用图生成 - 联邦学习的特征归一化 - 命令行界面 (CLI) - 回归和稳定性测试 - 报告模式版本控制 ## 设计原则 - 稳定性优于激进性 - 确定性分析 - 最小化假设 - 清晰的模块边界 - 报告总是生成，否则明确报错 该项目有意避免实验性分析，直到建立起强大且可靠的基线。 ## 许可证 本项目仅用于 **研究和教育目的**。 用户需自行确保在处理恶意软件样本时遵守适用法律。 ## 贡献 欢迎贡献，特别是在以下领域： - 静态分析改进 - 报告模式增强 - 测试和验证 - 文档 请开启一个 issue 或提交 pull request。

标签：DAST, Docker, Homebrew安装, JSON报告, Python, Radare2, TLS指纹, 二进制分析, 二进制情报, 云安全监控, 云安全运维, 云资产清单, 元数据提取, 函数发现, 哈希计算, 威胁情报, 安全防御评估, 容器化安全, 开发者工具, 开源安全工具, 恶意软件分析, 无后门, 特征提取, 确定性分析, 网络安全, 联邦学习, 请求拦截, 进程保护, 逆向工具, 逆向工程, 逆向工程平台, 隐私保护, 静态分析