Ross-Ward/Shield-Engine
GitHub: Ross-Ward/Shield-Engine
一款模块化的开源恶意软件检测引擎,通过哈希匹配、YARA 规则、PE 启发式分析、熵计算和模糊哈希等多种技术提供透明的恶意软件识别能力。
Stars: 0 | Forks: 0

--name "Emotet Loader"
```
## 🔍 检测引擎
### 1. 基于哈希的检测
最基础的方法。将文件哈希(SHA-256, SHA-1, MD5)与我们的 `signatures/signatures.txt` 数据库进行比对。尽管通过修改单个字节就能轻易绕过,但它依然是识别已知样本的标准。
### 2. YARA 规则扫描
Shield 集成了递归 YARA 规则加载器。它使用数千条社区规则(Elastic, ESET, Florian Roth)扫描文件,以识别特定的恶意软件家族和攻击技术。
### 3. 静态 PE 分析
PE 引擎解析 Windows 可执行文件结构,以识别:
- **可疑的导入 (IAT)**:检测对 `VirtualAlloc`、`WriteProcessMemory` 等的调用。
- **节区异常**:异常的节区名称或高熵代码节区。
### 4. 熵分析
恶意软件通常使用加壳工具(UPX, VMProtect)来隐藏其代码。Shield 计算文件节区的香农熵;大块区域的高熵通常表明存在加密或压缩的恶意 payload。
### 5. 模糊哈希
多态恶意软件会改变其哈希值但保留其结构。Shield 使用模糊哈希来检测文件之间的“相似性”,从而捕获传统哈希检查遗漏的变种。
## ⚠️ 免责声明
**Shield Engine 仅用于教育和研究目的。**
请勿在不属于您或未获得明确分析授权的系统或文件上使用此工具。处理恶意软件应始终在隔离的、无网络的实验室环境中进行。
## 🤝 贡献与支持
Shield Labs 是一个开源项目。我们欢迎对扫描引擎、签名数据库和文档的贡献。
- **GitHub**:[Shield 项目](https://github.com/Ross-ward/shield)
- **组织**:Shield Labs 安全中心的一部分。
© 2026 Shield Labs。基于 MIT 许可证授权。
标签:DNS信息、DNS暴力破解, DNS 反向解析, EVTX分析, Go语言, PE解析, YARA规则, 日志审计, 模糊哈希, 程序破解, 防病毒引擎