Claregome/Malware-Analysis-sandbox

# 🛡️ 恶意软件分析沙箱    一个模块化的 **基于 Python 的行为恶意软件分析沙箱**，专为教育和防御性网络安全研究而设计。 ## 📌 目录 * [概述](#overview) * [功能](#features) * [架构](#architecture) * [项目结构](#project-structure) * [安装说明](#installation) * [使用方法](#usage) * [示例输出](#sample-output) * [安全提示](#security-notice) * [所用技术](#technologies-used) * [未来改进](#future-improvements) * [许可证](#license) ## 📖 概述 恶意软件分析沙箱提供了一个受控的运行时环境，它可以： * 执行样本脚本 * 监控文件系统活动 * 检测新创建的进程 * 跟踪网络 I/O 使用情况 * 生成带有时间戳的 JSON 分析报告 本项目严格专注于 **防御性网络安全** 和 **符合道德规范的恶意软件研究**。 ## 🚀 功能 * 多线程行为监控 * 文件系统变更检测（创建/修改/删除） * 新进程检测 * 网络活动监控 * 自动生成 JSON 报告 * 模块化架构 * 安全的执行目录 (`sandbox_env/`) ## 🏗️ 架构 ### 1️⃣ 文件监控器 使用 `watchdog` 跟踪文件系统变更。 ### 2️⃣ 进程监控器 使用 `psutil` 检测新生成的进程。 ### 3️⃣ 网络监控器 跟踪执行期间发送和接收的字节数。 ### 4️⃣ 分析器核心 使用线程协调执行和监控。 ### 5️⃣ 报告生成器 输出结构化的 JSON 结果。 ## 📂 项目结构 malware-analysis-sandbox/ │ ├── analyzer.py ├── config.py ├── file_monitor.py ├── process_monitor.py ├── network_monitor.py ├── report_generator.py ├── main.py │ ├── sandbox_env/ ├── reports/ ├── test_sample.py └── requirements.txt ## ⚙️ 安装说明 ### 克隆仓库 ``` git clone https://github.com/yourusername/malware-analysis-sandbox.git cd malware-analysis-sandbox ``` ### 安装依赖 ``` pip install -r requirements.txt ``` ## ▶️ 使用方法 ``` python main.py test_sample.py ``` 报告将生成在以下目录中： ``` /reports ``` ## 📊 示例输出 ``` { "file_changes": [ { "event": "created", "path": "sandbox_env/test_file.txt" } ], "new_processes": [ { "pid": 12345, "name": "python.exe" } ], "network_activity": { "bytes_sent": 542, "bytes_received": 1200 } } ``` ## ⚠️ 安全提示 本仓库 **不** 包含真实的恶意软件样本。 本项目严格用于： * 学术研究 * 防御性网络安全培训 * 合乎道德的恶意软件分析 请 **勿** 在适当隔离的虚拟机之外执行真实的恶意软件。 ## 🛠️ 所用技术 * Python 3.11 * psutil * watchdog * threading * JSON ## 🔮 未来改进 * SHA256 文件哈希 * YARA 规则集成 * MITRE ATT&CK 映射 * HTML 报告生成 * 基于 Docker 的隔离 * Web 界面 ## 📜 许可证 MIT License

标签：AMSI绕过, Cloudflare, DAST, Homebrew安装, HTTP/HTTPS抓包, MITRE ATT&CK, Python, 威胁检测, 态势感知, 恶意软件分析, 教育安全工具, 文件系统监控, 无后门, 沙箱, 网络安全, 网络流量分析, 自动化报告, 行为监控, 防御性安全, 隐私保护