mustafahalitay/malware-analysis-sandbox
GitHub: mustafahalitay/malware-analysis-sandbox
基于 VirtualBox 和 Python 的自动化恶意软件分析沙箱,融合静态检测、动态行为监控与网络流量分析,自动映射 MITRE ATT&CK 并生成威胁评分报告。
Stars: 0 | Forks: 0
# Siber 实验室:恶意软件分析系统(EDR & 沙箱)
本项目是一个自动化的分析流水线(pipeline),通过在隔离的虚拟机(VirtualBox)环境中运行可疑文件,对其进行行为和静态分析,对结果进行评分,并生成详细的报告(PDF、CSV、Pcap)。
## 功能特性
- **混合分析:** 使用 YARA 规则进行静态分析,结合 VirtualBox + Procmon 进行动态行为分析。
- **网络流量与 PCAP 分析:** 使用 Tshark 捕获网络流量,并使用 Scapy 进行 DNS/连接分析。
- **MITRE ATT&CK 映射:** 自动将分析发现映射到 MITRE ATT&CK 战术和技术(例如:T1547.001)。
- **威胁评分:** 根据可配置(`settings.yaml`)的权重进行 0-100 之间的风险评分。
- **熵值分析:** 通过测量文件熵值来检测加壳或加密的 payload。
- **云端情报:** 集成 VirusTotal API 进行零日检查并丰富分析结果。
- **反规避(用户模拟):** 在分析过程中,通过虚拟机内的鼠标移动和 Alt-Tab 操作,防止恶意软件检测到沙箱环境(规避)。
- **全面的报告与历史记录:** 生成包含关键截图、MITRE 树和分数分布的 PDF 报告。此外,提供由 SQLite 数据库支持的 UI 界面中的“历史分析”标签页。
- **Telegram 通知:** 分析完成后,通过 Telegram 即时发送摘要通知。
## 架构
```
+-----------------------+ VBoxManage +-----------------------------------+
| HOST (Python) | ----------------------> | GUEST (Windows 10 Sandbox) |
| | | |
| - src/ui (Tkinter) | <--- Tshark (Pcap) ---- | + orkestra.bat (Yönetici) |
| - src/core (Pipeline) | | + Procmon64.exe (İzleme) |
| - src/analysis | <--- guest_copy_from -- | + insan_taklidi.ps1 (Simülasyon) |
| - src/reporting | | + zararlı_yazılım.exe (Payload) |
+-----------------------+ +-----------------------------------+
```
## 快速开始
1. 创建并激活虚拟环境(virtual environment)。
2. 安装依赖:
`pip install -r requirements.txt`
3. 将 `.env.example` 文件复制为 `.env` 并填写必要的值(API 密钥、VM 路径)。
4. 运行应用程序:
`python app.py`
## 文件夹结构(输出)
活动运行时输出将在 `data/` 文件夹下生成:
- `data/samples/suspicious`:放置待分析的可疑文件。
- `data/samples/benign`:干净的对比(baseline)文件。
- `data/samples/quarantine`:评分超过阈值(默认为 70)并被隔离的文件。
- `data/reports`:生成的 PDF 和 CSV 报告。
- `data/pcap`:网络捕获文件。
- `data/logs`:编排调试日志和原始 Procmon (.pml) 文件。
## 测试步骤
- 测试运行步骤请参阅:`docs/test_run_checklist.md`
- 现成的 payload 列表:`data/samples/suspicious/00_TEST_PAYLOAD_LIST.txt`
## 安全警告
- **不要**将 `.env` 文件添加到版本控制(git)中。
- 请仅在隔离的实验室文件夹中保留恶意软件样本。不要将其解压到操作系统的自身目录中。
## 免责声明
本项目仅用于教育、研究和网络安全分析目的。**因滥用、分发或在未经授权的系统上运行本项目附带或测试的恶意软件而产生的一切法律责任和刑事后果均由最终用户承担。** 开发者不对使用此工具或其中数据导致的任何损害或数据丢失承担责任。
## 许可证
本项目采用 MIT 许可证授权。有关详细信息,请查看 `LICENSE` 文件(如果已添加)。
标签:Ask搜索, Cloudflare, DAST, DeepSeek, DNS枚举, EDR, MITRE ATT&CK, PCAP分析, Python, Scapy, Tshark, VirtualBox, VirusTotal, Windows 10, YARA, 云安全监控, 云资产可视化, 免杀检测, 威胁情报, 威胁评分, 安全报告, 库, 应急响应, 开发者工具, 恶意软件分析, 无后门, 混合分析, 熵值分析, 结构化查询, 网络安全工具, 网络流量分析, 脆弱性评估, 自动化安全, 自动化沙箱, 逆向工具, 静态分析