KrakoX/remnux-malware-analysis

GitHub: KrakoX/remnux-malware-analysis

在隔离的REMnux Docker容器中自动化完成恶意软件静态分析、IOC提取与评分报告生成。

Stars: 0 | Forks: 0

![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/9ba134d018053401.svg) ![Python](https://img.shields.io/badge/python-3.13+-blue) ![License](https://img.shields.io/badge/license-MIT-green) # REMnux 恶意软件分析 在临时的 [REMnux](https://remnux.org/) Docker 容器内进行静态恶意软件分析。样本永远不会被执行——所有工具都在隔离的、禁用网络的容器中运行。结果会被评分,提取 IOC,并自动生成 Markdown 报告。 ## 快速开始 ``` docker pull remnux/remnux-distro git clone https://github.com/KrakoX/remnux-malware-analysis cd remnux-malware-analysis python analyze.py /path/to/sample.exe ``` 无需 Python 依赖——仅使用标准库。YARA 规则会在首次运行时自动下载。 ## 工作原理 1. **检测** —— 启动全新的 REMnux 容器,暂存样本,收集哈希值和文件类型 2. **预处理** —— 如有需要则解压或解密(PDF、加密的 Office 文档) 3. **运行** —— 执行与文件类别和选定深度相匹配的工具 4. **解包** —— 对于归档文件,提取内部文件并逐一分析 5. **报告** —— 对发现进行评分,提取 IOC,查询 VirusTotal(可选),编写 Markdown 报告 容器标志:`--network none`, `--cap-drop ALL`, `--memory 2g`, `--pids-limit 256`。 ## 用法 ``` python analyze.py sample.exe # standard depth python analyze.py sample.exe --depth deep # full tool suite python analyze.py sample.exe --output-dir ./reports ``` ### 深度 | 深度 | 工具 | |-------|-------| | `quick` | 哈希、文件类型、熵、壳检测 | | `standard` (默认) | + 字符串、YARA、特定格式工具 (olevba, pdf-parser 等) | | `deep` | + capa, manalyze, 反混淆器 | ### 支持的文件类型 `pe` · `elf` · `pdf` · `ole2` · `ooxml` · `rtf` · `archive` · `script` · `pyc` · `onenote` · `email` · `shellcode` · `unknown` ## YARA 规则 首次运行时自动下载,缓存在 `~/.local/share/yara-rules/`,每 7 天刷新一次: - [Neo23x0/signature-base](https://github.com/Neo23x0/signature-base) — 700+ 规则 - [malpedia/signator-rules](https://github.com/malpedia/signator-rules) — 1600+ 规则 ## VirusTotal (可选) 在您的环境中设置 `VIRUSTOTAL_API_KEY`: ``` export VIRUSTOTAL_API_KEY=your_key_here ``` 或者在项目根目录创建一个 `config` 文件(已被 git 忽略): ``` [virustotal] api_key = YOUR_KEY_HERE ``` 在 [virustotal.com](https://www.virustotal.com/) 获取免费密钥。这会将检测计数、威胁标签、首次发现日期和社区 YARA 匹配添加到报告中。 ## 开发 有关设置、测试和 PR 指南,请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 清理运行失败后遗留的容器: ``` docker ps -a --filter "name=remnux-analysis" --format "{{.ID}}" | xargs docker rm -f ``` 有关内部实现细节,请参阅 [ARCHITECTURE.md](ARCHITECTURE.md)。 ## 许可证 [MIT](LICENSE)
标签:AMSI绕过, Ask搜索, DAST, Docker, Go语言工具, IOC提取, Markdown报告, Python, REMnux, VirusTotal, Web截图, YARA, 云安全监控, 云资产可视化, 云资产清单, 信标分析, 威胁情报, 威胁检测, 安全容器化, 安全防御评估, 容器安全, 开发者工具, 恶意软件分析, 搜索语句(dork), 文件指纹, 无后门, 沙箱, 结构化查询, 网络安全, 自动化安全, 请求拦截, 逆向工具, 逆向工程, 隐私保护, 静态分析