interdict0r/six-eyes
GitHub: interdict0r/six-eyes
一款基于 Rust 和 egui 构建的 Windows PE 静态分析工具,提供哈希计算、导入分析、字符串提取、反汇编和启发式威胁评分等恶意软件初筛功能。
Stars: 1 | Forks: 0
# six eyes
一款使用 Rust 构建的 Windows PE(Portable Executable)静态分析工具。它能够解析 `.exe`、`.dll`、`.sys`、`.ocx` 和 `.scr` 文件,并通过六个分析标签页展示结果。
## 功能
### 概述
- 文件哈希:MD5、SHA-256、ImpHash、RichHash
- PE 元数据:架构、子系统、入口点、镜像基址、链接器/操作系统版本、时间戳
- 安全标志:ASLR、DEP、CFG、NX、SEH,以颜色编码的徽章显示
- 节表,包含熵条、大小和特征
- 全文件熵热力图(1KB 块分辨率)
- 导出表、资源(清单、版本信息)、附加数据检测
- 语言/编译器检测:MSVC、GCC/MinGW、.NET、Go、Rust、Delphi、Python (PyInstaller)、AutoIt、Nim
- Go 符号提取(函数 + 源文件)和 Rust crate 检测
### 导入
- 按 DLL 分组的导入函数,按风险等级进行颜色编码
- 能力检测映射到 16 个类别(进程注入、反调试、加密、网络、注册表、权限提升等),每个都标记有 MITRE ATT&CK 技术 ID
### 字符串
- ASCII、Wide (UTF-16LE) 和混淆字符串提取
- 虚拟化表格,高效处理数千条字符串
- 实时文本搜索和类型过滤
### 启发式分析
- 基于加权发现(严重、警告和信息)的威胁评分(0–100)
- 分类检查:加壳/混淆、可疑导入、结构异常、缺失安全标志、元数据不一致、导出转发、缺失签名
### 十六进制视图
- 虚拟化十六进制转储 —— 经典的 偏移量 | 十六进制 | ASCII 布局,每行 16 字节
### 反汇编
- 从入口点开始的 x86/x86-64 反汇编(最多 4000 条指令,Intel 语法)
- 受 IDA/Ghidra 配色方案启发的语法高亮
- IAT 解析:`call [IAT]` 指令标注为 `DLL!FunctionName`
- `mov`/`lea` 指令中的字符串引用解析
- 函数序言检测和边界分隔符
- 分支弧形边栏,采用列分配弧线以避免重叠
- 跳转到地址、函数列表下拉菜单和实时搜索
- 用户代码入口(`main()`)的启发式检测
## 构建
### 环境要求
- Rust 1.85+(2024 版本)
- MSVC 工具链
### 构建
```
# 调试
cargo build
# Release (针对大小优化,完全 stripped)
cargo build --release
```
发布版二进制文件位于 `target/release/six-eyes.exe`。
### 运行
```
cargo run --release
```
使用标题栏中的 "Open PE..." 按钮打开 PE 文件。
## 项目结构
```
src/
main.rs — Application entry point, window setup
app.rs — App state, tab routing, eframe::App implementation
model.rs — Data structures (PeInfo, SectionInfo, DisasmLine, etc.)
parser.rs — PE parsing engine, string extraction, disassembly generation
hashing.rs — MD5, SHA-256, PE checksum, ImpHash, RichHash
detection.rs — Language/compiler detection, Rich header parsing, Go/Rust analysis
heuristics.rs — Threat scoring, suspicious import detection, capability mapping
ui/
mod.rs — Shared UI helpers (key-value layouts, badges, gradients, easing)
titlebar.rs — Custom frameless titlebar with window controls
overview.rs — Overview tab
imports.rs — Imports tab
strings.rs — Strings tab
heuristics.rs — Heuristics tab
hexview.rs — Hex viewer tab
disasm.rs — Disassembly tab
```
## 依赖项
| Crate | 用途 |
|-------|---------|
| [exe](https://crates.io/crates/exe) | PE 文件解析 |
| [eframe](https://crates.io/crates/eframe) / [egui](https://crates.io/crates/egui) | GUI 框架 |
| [egui_extras](https://crates.io/crates/egui_extras) | 虚拟化表格渲染 |
| [rfd](https://crates.io/crates/rfd) | 原生文件对话框 |
| [iced-x86](https://crates.io/crates/iced-x86) | x86/x86-64 指令解码 |
## 许可证
保留所有权利。
标签:AMSI绕过, ATT&CK映射, Conpot, DAST, DeepSeek, DNS 反向解析, DNS 解析, Findomain, ImpHash, IP 地址批量处理, Mr. Robot, PE文件解析, Rust, Triage, Wayback Machine, Web报告查看器, Windows安全, YARA规则辅助, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 代码注入检测, 反汇编, 可执行文件, 可视化界面, 后渗透, 启发式扫描, 威胁检测, 威胁评分, 导入表分析, 恶意软件分析, 数据包嗅探, 文件哈希, 无线安全, 杀毒软件辅助, 流量嗅探, 熵值分析, 网络安全, 网络安全审计, 网络流量审计, 逆向工程, 通知系统, 速率限制处理, 隐私保护, 静态分析