YarinGub/MalwareAnalysisSandbox

# 恶意软件分析沙箱 ## 概述 本项目实现了一个基于 **Windows 的恶意软件分析沙箱**，用于对可疑样本进行动态分析。 该沙箱在隔离环境中执行样本，监控其行为，并生成结构化的分析报告。 重点在于**行为观察**，而非检测。 功能特性： - 自动化执行与监控流水线 - 文件系统快照（执行前/后） - 基于 Sysmon 的进程与系统事件收集 - 自动生成报告 - *(附加功能)* 用于管理运行和查看报告的图形用户界面 (UI) ## 环境 - Windows 虚拟机 - PowerShell 5+ - 已安装并启用 Sysmon - 需要管理员权限 - 建议网络隔离 ## 项目结构 sandbox/ ├─ scripts/ │ ├─ fs_snapshot.ps1 │ ├─ export_sysmon.ps1 │ ├─ generate_report.ps1 │ └─ sandbox_ui.ps1 # 附加 UI └─ in/ └─ fake_malware.ps1 每次执行都会在以下位置生成一个运行目录： C:\Sandbox\out\\ ## 分析流水线 每次运行遵循以下步骤： 1. 初始化 – 创建运行目录并记录开始时间 2. 执行前快照 – 捕获文件系统状态 (fs_before.json) 3. 样本执行 – 在时间限制内运行样本 4. 执行后快照 – 捕获文件系统变更 (fs_after.json) 5. Sysmon 收集 – 导出相关的系统事件 (sysmon.json) 6. 报告生成 – 生成汇总行为的 report.md ## 输出产物 每个运行目录包含： - since_utc.txt – 执行开始时间 - fs_before.json – 执行前的文件系统快照 - fs_after.json – 执行后的文件系统快照 - sysmon.json – Sysmon 事件日志 - report.md – 最终行为分析报告 ## 运行沙箱 (CLI) 以管理员身份运行 PowerShell： ## 附加功能：用户界面 (UI) 包含一个 PowerShell WinForms UI 以简化沙箱操作。 功能特性： - 启动 / 停止分析运行 - 自动运行管理 - 实时执行日志 - 集成报告查看器 运行 UI： ## 安全提示 - 所有执行均在虚拟机内部进行 - 样本为受控模拟 - 可以禁用网络访问 - 访问 Sysmon 需要管理员权限 ## 总结 本项目演示了一个端到端的恶意软件分析工作流，结合了受控执行、行为监控和自动化报告。 该解决方案模块化、可扩展，适合作为更高级沙箱系统的基础。

标签：AI合规, DAST, Homebrew安装, HTTP工具, IPv6, Libemu, OpenCanary, PowerShell, Sysmon, 事件日志, 威胁情报, 开发者工具, 恶意软件分析, 文件系统快照, 样本执行, 沙箱, 生成式AI安全, 网络安全审计, 网络调试, 自动化, 虚拟机, 行为监测, 防御加固