robsoncyberdefense/DeepSight-Analyzer

# 🔍 DeepSight Analyzer **数字取证与事件响应工具** 🔍 概述 DeepSight Analyzer 是一款使用 PowerShell 开发并具有 WPF 图形界面的数字取证与事件响应 (DFIR - Digital Forensics and Incident Response) 工具。该工具允许对文件进行高级静态分析、恶意软件检测、妥协指标 提取以及规避技术分析。 ## 🌟 主要功能 ### 🔬 全面取证分析 - **加密哈希**: MD5, SHA1, SHA256, SHA512 - **香农熵**: 检测加壳/加密 - **文件类型检测**: 通过 magic bytes 识别 - **元数据提取**: 时间戳、属性、版本信息 - **证书分析**: 验证数字签名并检测 IP ### 🕵️ 隐写术检测 检测多种格式中的隐藏数据： - **图片**: PNG (IEND chunk), JPEG (EOI marker), GIF, BMP - **音频**: WAV (RIFF size), MP3 - **文档**: PDF (%%EOF marker) - **Payload 提取**: 自动提取嵌入文件 - **ZIP 检查**: 列出隐藏 ZIP 的内容 ### 🔧 深度分析模式 (逆向工程) 针对 PE (Portable Executable) 文件的高级分析： - **PE Header 分析**: 架构、Entry Point、Image Base、Subsystem - **逐节分析**: 名称、VA、大小、各节单独的熵值 - **导入地址表 (IAT)**: 导入的 DLL 和 API - **可疑 API 检测**: - Process Injection (OpenProcess, VirtualAllocEx, WriteProcessMemory) - Persistence (RegSetValue, CreateService, SchTasks) - Networking (socket, connect, InternetOpen) - Anti-Debug (IsDebuggerPresent, CheckRemoteDebuggerPresent) - Keylogger, Screen Capture, Credential Dumping - **加壳/编译器检测**: UPX, ASPack, Themida, VMProtect 等。 - **资源提取**: 图标、版本信息、Manifest、原始数据 - **TLS Callback 检测**: 高级反调试技术 ### 🎯 恶意软件能力检测 自动识别恶意能力： - 🔴 Keylogger - 🔴 Screen Capture - 🔴 Credential Dumping (LSASS, Mimikatz) - 🟠 Persistence (Registry, Scheduled Tasks) - 🔴 Command & Control (C2) - 🟠 File Exfiltration - 🔴 Process Injection - 🔴 Ransomware 指标 - 🔴 Rootkit 能力 - 🟠 Downloader ### 📋 MITRE ATT&CK 映射 自动映射 ATT&CK 技术： - T1056.001 - Input Capture: Keylogging - T1113 - Screen Capture - T1003 - OS Credential Dumping - T1547 - Boot or Logon Autostart Execution - T1071 - Application Layer Protocol - T1041 - Exfiltration Over C2 Channel - T1055 - Process Injection - T1486 - Data Encrypted for Impact - T1105 - Ingress Tool Transfer ### 🌐 网络指标分析 检测可疑网络模式： - **C2 框架**: Cobalt Strike, Meterpreter, Empire, Sliver, Mimikatz - **可疑 IP**: 已知的 C2 段 (185.x, 45.x, 139.x 等) - **可疑域名**: DGA 检测、可疑 TLD (.xyz, .top, .club) - **C2 端口**: 4444, 8443, 1337, 31337 等 - **编码命令**: PowerShell/CMD 的 Base64 解码 - **行为模式**: Sleep, beacon, callback, heartbeat ### 📊 IOC 提取 自动提取妥协指标 (Indicators of Compromise): - IP 地址 (范围验证) - 完整 URL - 电子邮件地址 - Windows 文件路径 - 过滤后的可读字符串 ### 💾 Payload 提取 - 自动类型检测 (PE, ZIP, PDF, PS1, BAT 等) - 一键提取 - 安全警报 - 内容预览 ## 🎨 专业界面 ### 现代化 WPF GUI - **深色主题**: 专业深色界面 - **彩色编码输出**: - 🟢 成功 - 🟡 警告 - 🔴 错误 - 🔵 信息 - ⚪ 标题 - **拖放**: 直接拖放文件 - **导出结果**: 将完整分析保存为 .txt - **状态栏**: 实时进度 - **深度分析开关**: 开启/关闭深度分析 ## 📋 用例 ### 适用于 SOC/IR 分析师 - ✅ 快速警报分类 - ✅ 提取 IoC 进行封堵 - ✅ 生成威胁情报报告 - ✅ 恶意软件初步分析 ### 适用于逆向工程师 - ✅ 在打开 IDA/Ghidra 之前进行静态分析 - ✅ 识别 packers/compilers - ✅ 检测反分析技术 - ✅ 映射能力 - ✅ 每个样本节省 30-60 分钟 ### 适用于 DFIR 专业人士 - ✅ 事后取证分析 - ✅ 提取隐藏工件 - ✅ 隐写术检测 - ✅ 证书验证 - ✅ 时间线分析 ## 🚀 系统要求 - **PowerShell**: 5.1 或更高版本 - **系统**: Windows 10/11 - **程序集**: - PresentationFramework (WPF) - PresentationCore - WindowsBase - System.IO.Compression.FileSystem - System.Windows.Forms ## 📦 安装 ``` # 克隆 repository git clone https://github.com/robsoncyberdefense/DeepSight-Analyzer.git cd DeepSight-Analyzer # 直接执行 .\DeepSight_Analyzer.ps1 ``` 💡 使用说明 基本分析 1. 点击 "📁 Selecionar Arquivo" (选择文件) 或拖放一个文件 2. 点击 "🔬 Analisar" (分析) 3. 在屏幕上查看结果 4. 点击 "📄 Exportar Resultado" (导出结果) 进行保存 深度分析模式 1. 勾选 "🔬 Deep Analysis Mode" 复选框 2. 选择一个 PE 文件 (exe, dll, sys) 3. 点击 "🔬 Analisar" (分析) 4. 等待完整分析 (较慢，但更详细) Payload 提取 当检测到隐写术时： 1. "💾 Extrair Payload" 按钮将自动启用 2. 点击按钮 3. 选择保存位置 4. ⚠️ 警告: 在沙箱中分析提取的 payload! 🎯 输出示例 ``` ╔════════════════════════════════════════════════════════════╗ ║ DeepSight ANALYZER v1.0 - COMPLETE ║ ╚════════════════════════════════════════════════════════════╝ 📁 Arquivo: C:\Samples\suspicious.exe ⏰ Início: 2026-03-20 14:30:15 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 🔐 HASHES ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4... SHA512: cf83e1357eefb8bdf1542850d66d8007d620e405... ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 📊 ENTROPIA ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Entropia: 7.9906 / 8.0 Classificação: Muito alta - Criptografado/Packed 🔬 DEEP ANALYSIS MODE (REVERSE ENGINEERING) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 🛡️ ANTI-ANALYSIS: Anti-Debug (3): - IsDebuggerPresent - CheckRemoteDebuggerPresent - NtQueryInformationProcess Anti-VM (2): - VirtualBox - VMware 🎯 CAPABILITIES: 🔴 Keylogger 🔴 Credential Dumping 🔴 Command & Control 📋 MITRE ATT&CK: • T1056.001 - Input Capture: Keylogging • T1003 - OS Credential Dumping • T1071 - Application Layer Protocol 🌐 NETWORK ANALYSIS ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ⚠️ PADRÕES SUSPEITOS - Risco: HIGH IPs Suspeitos (2): - 45.76.71.127 - 185.220.101.45 Domínios Suspeitos (1): - c2server.xyz Portas Suspeitas: - 4444 - 8443 📊 RESUMO ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Tempo: 3.42s 🔴 RISCOS: • Entropia alta • Anti-Debug • C2 Communication • Network Patterns (HIGH) ⚠️ Analise em sandbox! ``` 🔒 安全注意事项 ⚠️ 重要警告: - 在隔离环境 (VM/sandbox) 中运行 - 不要在生产环境中分析文件 - 提取的 payload 可能具有恶意 - 始终在受控环境中进行验证 🛡️ 推荐集成 - VirusTotal: 验证提取的哈希 - YARA: 结合自定义 YARA 规则 - SIEM/SOAR: 将 IoC 导出到您的平台 - Ghidra/IDA: 用作初步筛选 ## 📊 工具对比 | 工具 | 筛查 | 深度逆向 | 隐写术 | MITRE ATT&CK | |------------|---------|-------------|---------------|--------------| | PEStudio | ⭐⭐⭐⭐⭐ | ⭐⭐ | ❌ | ❌ | | Detect It Easy | ⭐⭐⭐⭐ | ⭐⭐ | ❌ | ❌ | | Ghidra/IDA | ⭐ | ⭐⭐⭐⭐⭐ | ❌ | ❌ | | **DeepSight** | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | 📄 许可证 本项目 "按原样" 提供，用于安全教育和研究目的。 ⚠️ 免责声明 本工具专门用于： - 授权的取证分析 - 安全研究 - 教育和培训 - 受控环境中的事件响应 滥用责任由用户自行承担。 👤 作者 Robson Nunes - Cyber Security LinkedIn: www.linkedin.com/in/robsoncyberdefense ⭐ 如果您觉得此工具有用，请在仓库中给一个 Star!

标签：AI合规, CVE, DAST, DeepSeek, DNS 反向解析, IOC提取, IPv6, IP 地址批量处理, Libemu, OpenCanary, PE文件分析, PowerShell, WPF, YARA, 二进制分析, 云安全监控, 云安全运维, 云资产可视化, 云资产清单, 加壳检测, 可执行文件, 可疑API, 哈希计算, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 恶意软件分析, 扫描框架, 数字取证, 数字签名, 数据包嗅探, 熵值分析, 网络安全审计, 自动化脚本, 逆向工程, 隐写术检测, 静态分析