Ross-Ward/Shield-Engine

GitHub: Ross-Ward/Shield-Engine

一款模块化的开源恶意软件检测引擎,通过哈希匹配、YARA 规则、PE 启发式分析、熵计算和模糊哈希等多种技术提供透明的恶意软件识别能力。

Stars: 0 | Forks: 0

![横幅](https://static.pigsec.cn/wp-content/uploads/repos/cas/76/76b1788e7337aa2f11a82d8eb32426ebcbec7e7548569549182531da78e5a150.svg)

Shield Labs Logo

# Shield Engine ## 🛡️ 概述 杀毒引擎通常是一个“黑盒”,在隔离文件时从不解释*为什么*或*如何*隔离。**Shield Engine** 以开源方式构建,让安全研究人员和开发者能够理解从简单的签名到高级启发式分析和熵分析等检测技术。 Shield 的设计初衷在于: - **内部恶意软件检测**:扫描基础设施以发现已知威胁。 - **安全研究**:分析现代恶意软件使用的技术。 - **分层防御**:为专有解决方案提供透明的替代方案。 ## 🚀 核心功能 | 引擎 | 检测技术 | 状态 | | :--- | :--- | :--- | | **基于哈希** | SHA-256, SHA-1, MD5 签名 | ✅ 生产就绪 | | **YARA 规则** | 高级模式匹配 (YARA-Lite) | ✅ 生产就绪 | | **PE 启发式** | IAT 分析、节区头部、静态 API 检查 | ✅ 生产就绪 | | **熵** | 检测加壳/加密的恶意 payload | ✅ 生产就绪 | | **模糊哈希** | ssdeep/TLSH 用于检测多态变种 | ✅ 生产就绪 | | **规避实验室** | 用于测试引擎绕过技术的工具 | 🔜 计划中 | ## 🏗️ 架构 Shield 采用模块化的 **Detector 接口**,允许多个引擎同时扫描文件并返回综合的风险评估。 ``` graph TD CLI[Shield CLI] --> Orchestrator[Scanner Orchestrator] Orchestrator --> Hash[Hash Engine] Orchestrator --> YARA[YARA Engine] Orchestrator --> PE[PE Heuristics] Orchestrator --> Entropy[Entropy Engine] Orchestrator --> Fuzzy[Fuzzy Engine] Hash --> DB[(Signatures DB)] YARA --> Rules[(YARA Rules)] ``` ## 📂 项目结构 ``` Shield/ ├── main.go # CLI Entry Point & Orchestration ├── scanner/ # Core Detection Engines │ ├── entropy.go # Entropy & Packing Detection │ ├── fuzzy.go # Fuzzy Hashing (ssdeep/TLSH) │ ├── pe.go # PE Heuristics & IAT Analysis │ ├── scanner.go # Orchestration & Multi-thread Scanning │ └── yara.go # YARA-Lite Rule Integration ├── rules/ # YARA Rule Collections (Core, ESET, etc.) ├── signatures/ # Known-bad Hash Databases ├── go.mod # Dependencies └── README.md # Documentation ``` ## 🛠️ 快速开始 ### 前置条件 - **Go 1.21+** - **libyara**(YARA 扫描支持必需) ### 安装 ``` git clone https://github.com/Ross-ward/Shield-Engine.git cd Shield-Engine go build -o Shield main.go ``` ### 用法 **扫描单个文件:** ``` ./Shield scan --file suspicious.exe ``` **递归扫描目录:** ``` ./Shield scan --dir ./downloads ``` **添加新的威胁哈希:** ``` ./Shield add-hash --hash --name "Emotet Loader" ``` ## 🔍 检测引擎 ### 1. 基于哈希的检测 最基础的方法。将文件哈希(SHA-256, SHA-1, MD5)与我们的 `signatures/signatures.txt` 数据库进行比对。尽管通过修改单个字节就能轻易绕过,但它依然是识别已知样本的标准。 ### 2. YARA 规则扫描 Shield 集成了递归 YARA 规则加载器。它使用数千条社区规则(Elastic, ESET, Florian Roth)扫描文件,以识别特定的恶意软件家族和攻击技术。 ### 3. 静态 PE 分析 PE 引擎解析 Windows 可执行文件结构,以识别: - **可疑的导入 (IAT)**:检测对 `VirtualAlloc`、`WriteProcessMemory` 等的调用。 - **节区异常**:异常的节区名称或高熵代码节区。 ### 4. 熵分析 恶意软件通常使用加壳工具(UPX, VMProtect)来隐藏其代码。Shield 计算文件节区的香农熵;大块区域的高熵通常表明存在加密或压缩的恶意 payload。 ### 5. 模糊哈希 多态恶意软件会改变其哈希值但保留其结构。Shield 使用模糊哈希来检测文件之间的“相似性”,从而捕获传统哈希检查遗漏的变种。 ## ⚠️ 免责声明 **Shield Engine 仅用于教育和研究目的。** 请勿在不属于您或未获得明确分析授权的系统或文件上使用此工具。处理恶意软件应始终在隔离的、无网络的实验室环境中进行。 ## 🤝 贡献与支持 Shield Labs 是一个开源项目。我们欢迎对扫描引擎、签名数据库和文档的贡献。 - **GitHub**:[Shield 项目](https://github.com/Ross-ward/shield) - **组织**:Shield Labs 安全中心的一部分。 © 2026 Shield Labs。基于 MIT 许可证授权。
标签:DNS信息、DNS暴力破解, DNS 反向解析, EVTX分析, Go语言, PE解析, YARA规则, 日志审计, 模糊哈希, 程序破解, 防病毒引擎