HalfTimeOfLife/GhidraMAT

# GhidraMAT -- Ghidra 的恶意软件分析工具包 Ghidra 脚本框架，用于自动静态检测恶意软件行为：反调试、反虚拟机、打包、C2 指标、进程注入、持久化以及沙箱逃逸。 ## 检测模块 在 [modules/](modules) 目录中，包含用于检测可执行文件可疑行为的所有文件。该目录包含以下文件： | 模块 | 检测内容 | 状态 | |---|---|---| | `anti_vm.py` | `CPUID` 虚拟机检查、VMware/VirtualBox 注册表工件、VBOX/VMWARE 字符串、RDTSC 差值 | 已完成 | | `anti_debug.py` | `RDTSC`、`IsDebuggerPresent`、`NtQueryInformationProcess`、断点扫描、SEH 技巧 | 开发中 | | `packer.py` | 段熵（Shannon > 7.2）、畸形 PE 头、异常段名称、TLS 回调、导入数量偏低 | 开发中 | | `network.py` | C2 指标、硬编码 IP/URL、可疑 User-Agent、DGA 风格字符串、原始套接字使用 | 开发中 | | `crypto.py` | AES S-Box 常量、RC4 密钥调度模式、滚动 XOR、自定义魔数常量 | 开发中 | | `injection.py` | 经典 DLL 注入、进程空洞、APC 注入、线程劫持——通过危险 API 组合检测 | 开发中 | | `persistence.py` | 运行注册表键、计划任务、服务安装、启动文件夹写入 | 开发中 | | `evasion.py` | 基于时间的沙箱逃逸、睡眠加速、环境指纹识别、运行时间检查 | 开发中 | ## 项目架构 签名完全**与检测逻辑解耦**。API 名称、字节模式和可疑字符串位于 [signatures/](signatures) 目录下的 JSON 文件中。 ``` GhidraMAT/ ├── analyzer.py # Main runner ├── core/ │ ├── context.py # Wraps Ghidra program object │ ├── finding.py # Finding data model │ └── report.py # Report generation (plaintext) ├── modules/ │ └── anti_vm.py # Anti-VM detection module ├── signatures/ │ └── signatures.json # All signatures (imports, strings, byte_patterns, combinations) └── utils/ ├── utils.py # Shared helpers (imports, strings, signatures loading) ├── xrefs.py # Cross-reference resolution └── pattern.py # Byte pattern scanner ``` ## 报告生成 GhidraMAT 为每个二进制文件生成结构化报告，检测结果按类别分组，并标注其偏移量和匹配的签名。当前报告以纯文本形式导出。计划支持 JSON 导出以用于流水线集成。 ## 要求 - Ghidra 10.x 或更高版本 - PyGhidra — [安装指南](https://github.com/NationalSecurityAgency/ghidra/blob/master/Ghidra/Features/PyGhidra/src/main/py/README.md) ## 快速开始 1. 在 **Ghidra** 中打开目标二进制文件 2. 运行 **自动分析** 3. 进入 **Window → Script Manager** 4. 将 `GhidraMAT/` 文件夹添加到脚本目录 随后可通过以下方式启动 **GhidraMAT**： ### 选项 1 — 脚本管理器 在 Ghidra 脚本管理器中运行主脚本： `analyzer.py` ### 选项 2 — 分析菜单（推荐） 添加脚本目录后，分析器也可直接从以下位置调用： `Analysis → GhidraMAT`

标签：API 挂钩, API接口, C2 通信, CSV导出, DAST, DGA, DOM解析, Ghidra 插件, Homebrew安装, PE 分析, Python 脚本, SSH蜜罐, StruQ, TLS 回调, URL 检测, 云资产清单, 代码混淆, 加壳检测, 原始套接字, 反虚拟机, 反调试, 后渗透, 威胁情报, 子域名变形, 安全助手, 开发者工具, 恶意行为, 恶意软件分析, 服务安装, 沙箱逃逸, 注册表, 熵分析, 用户代理检测, 硬编码 IP, 网络指标, 自动检测, 计划任务, 进程注入, 逆向工具, 逆向工程, 静态检测