Manishbhangale45/Major_Project_Malware_Analysis_Using_Sandbox

# 使用沙箱进行恶意软件分析 一个全栈恶意软件分析平台，具备静态 + 动态分析、VM 执行、内存转储分析、IDS 遥测捕获、阈值计算和迭代签名优化功能。 ## 项目描述 本项目是一个专为实际安全分析工作流构建的恶意软件分析沙箱平台。它将基于文件的检测（YARA + VirusTotal）、隔离 Windows VM 中的动态执行、内存取证（procdump + Volatility）以及网络/IDS 遥测（Suricata + Zeek）整合到一个系统中。 后端使用 Flask 编排完整的分析流水线，并将结果存储在 SQLite 中。前端提供对分析师友好的界面，用于上传、结果审查和报告检查。设计目标是通过结合多种证据来源来减少误报，而不是仅依赖单一的扫描器。 ## 工作原理 项目按以下顺序运行： 1. **样本上传** - 分析师通过 UI 或 API (`/api/upload`) 上传文件。 - 后端存储样本并创建唯一的分析 ID。 2. **静态分析** - 提取文件属性（类型、大小、哈希值）。 - 执行 YARA 规则（本地行为规则 + 外部规则（如果存在））。 - 使用 SHA256 进行 VirusTotal 查询（当配置了 `VT_API_KEY` 时）。 3. **动态 VM 分析** - 样本在隔离的 Windows VM 中执行。 - VM 代理从后端下载样本，运行它，捕获遥测数据，使用 procdump 创建进程内存转储，并将转储文件上传回后端。 - 执行期间可以实时显示 VM（`VM_DISPLAY_MODE=gui`）。 4. **并行证据处理** - Zeek 网络解析、Volatility 内存分析、YARA 和 VirusTotal 关联在适用情况下并行处理。 5. **报告生成** - 后端构建确定性的威胁评估。 - 生成结构化的 JSON 输出，包含独立的 IOC 和签名部分（主机/网络 + IDS/文件签名）。 6. **Phase 2 测试流水线** - 恶意软件和对照测试运行可以重复自动化。 - 捕获并存储 Suricata/Zeek 产物以供比较。 7. **Phase 3 阈值与优化** - 计算每个签名/SID 的 FP/FN 阈值。 - 可以通过优化流水线迭代优化被标记的签名。

标签：AMSI绕过, Cloudflare, DAST, Flask, IOC提取, JSON报告, Metaprompt, MITRE ATT&CK, Python安全工具, React, Rootkit, SecList, Suricata, Syscalls, Windows虚拟机, YARA, Zeek, 二进制分析, 云安全监控, 云安全运维, 云资产可视化, 入侵检测系统, 内存取证, 威胁检测, 安全数据湖, 恶意软件分析, 样本分析, 沙箱技术, 沙箱逃逸检测, 现代安全运营, 病毒检测, 签名优化, 网络信息收集, 网络安全, 网络安全审计, 网络遥测, 自动化安全平台, 误报减少, 逆向工具, 隐私保护, 静态分析