chickenitcode/MalwareAnalysis-ThreatIntelligenceToolkit

GitHub: chickenitcode/MalwareAnalysis-ThreatIntelligenceToolkit

一个基于Python的纯静态恶意软件分析工具，在不执行文件的前提下提取IOC、关联本地威胁情报并生成风险评分报告。

Stars: 0 | Forks: 0

# 恶意软件分析与威胁情报工具包 (静态) 一个使用 Python 编写的**安全、纯静态**恶意软件分析与威胁情报关联工具包。它在**本地**分析文件（不执行），提取 **hash**、**字符串**、**IOC**，标记**启发式发现**，与**本地威胁情报列表**进行关联，并生成 **JSON + Markdown** 报告。 ## 安全免责声明 - 本项目仅执行**静态分析**，**不会执行**被分析的文件。 - 包含的样本是**无害的演示文件**，用于*模拟*真实的特征。 - 在分析真实的、不受信任的文件时，请使用适当的隔离环境。 ## 功能特性 - **文件元数据**：文件名、大小、扩展名、时间戳、尽力的 MIME 类型识别 - **Hash**：MD5 / SHA1 / SHA256 (分块) - **字符串**：ASCII + 可选 UTF-16LE - **IOC 提取**： - IPv4、URL、域名、电子邮件 - Windows 路径、Linux 路径、注册表键 - base64-like 数据块 (启发式) - **启发式检测**：PowerShell、编码命令、持久化提示、下载器模式等。 - **威胁情报关联**（本地文件）：hash/域名/IP - **报告生成**：JSON + Markdown，位于 `reports/` 目录 ## 快速开始 ### 环境要求 - Python **3.11+** (您的环境使用更新的 Python 版本，这也是可以的) ### 运行分析在项目根目录下执行： ``` python -m src.main --file samples/suspicious_sample.txt ``` 输出： - `reports/suspicious_sample.txt.report.json` - `reports/suspicious_sample.txt.report.md` ### 更多示例 ``` python -m src.main --file samples/loader_like_sample.txt python -m src.main --file samples/benign_sample.txt --markdown-only python -m src.main --file samples/suspicious_sample.bin --json-only python -m src.main --file samples/suspicious_sample.txt --min-string-length 6 ``` ### 本地威胁情报威胁情报位于 `threat_intel/` 目录： - `malicious_hashes.json` - `malicious_domains.txt` - `malicious_ips.txt` 您可以编辑这些列表以匹配您的演示场景。 ## 风险评分 (简单、透明) 评分设计为可解释的： - 本地情报中的 Hash 匹配：**+50** - 本地情报中的域名/IP 匹配：**+25** - 启发式发现：**按严重程度加权** - 类别加成： - 存在持久化 (persistence)：**+10** - 存在混淆 (obfuscation)：**+10** - 存在网络/下载 (network/download)：**+10** 标签： - **0–19** 低 - **20–39** 中 - **40–69** 高 - **70+** 严重报告包含一个**理由列表 (rationale list)**，显示哪些规则做出了贡献。 ## 项目结构 ``` src/ analyzer/ metadata, hashing, strings, orchestration ioc/ regex patterns + IOC extraction detection/ heuristics + risk scoring intel/ local threat intel correlation report/ JSON + Markdown reporters models/ dataclass schemas utils/ helpers samples/ safe demo files threat_intel/ demo intel lists reports/ output (gitignored) tests/ unittest-based tests ``` ## 运行测试 (无需额外安装) ``` python -m unittest discover -s tests -p "test_*.py" ``` ## MITRE ATT&CK (非正式映射) 一些启发式类别与常见技术一致，例如： - **T1059** 命令和脚本解释器 (Command and Scripting Interpreter) - **T1105** 入口工具传输 (Ingress Tool Transfer) - **T1547** 启动或登录自动启动执行 (Boot or Logon Autostart Execution) - **T1027** 混淆文件或信息 (Obfuscated/Compressed Files and Information) ## 未来改进 - PE 元数据解析 (安全的静态解析) 和节/熵检查 - 更好的 URL/域名规范化和去重 - HTML 报告输出 - 更多情报格式 (STIX-lite JSON, CSV feeds) 和标签 - 扩展单元测试和 golden-report 快照

标签：CTF工具, DAST, DNS 反向解析, GitHub, Homebrew安装, IOC提取, Python, 云安全监控, 可疑字符串, 启发式检测, 哈希计算, 威胁情报, 安全合规, 安全工具包, 实时处理, 开发者工具, 恶意软件分析, 文件分析, 无后门, 本地分析, 漏洞搜索, 网络代理, 网络信息收集, 网络威胁情报, 逆向工具, 防御加固, 静态分析