arosstale/malwareguard

# MalwareGuard **AI 驱动的恶意软件分析：树搜索与自调试** 首次将 AI Scientist v2 的智能体树搜索应用于恶意软件检测与分析。 ## 🎯 概述 MalwareGuard 将驱动 AgentGuard 的同款创新架构引入恶意软件分析领域： - **最佳优先树搜索**：智能探索分析路径 - **自调试引擎**：工具崩溃后 100% 恢复 - **多工具集成**：YARA、字符串、熵值、签名 - **零成本**：使用免费层级的模型 - **生产就绪**：具备全面的错误处理能力 ## 🚀 快速开始 ``` # 安装 git clone https://github.com/arosstale/malwareguard cd malwareguard pip install -r requirements.txt # 扫描文件 python3 malwareguard.py scan suspicious.exe # Tree search 模式 (推荐) python3 malwareguard.py scan suspicious.exe --tree-search --workers 3 ``` ## 🔧 功能特性 ### 核心能力 1. **静态分析** - 文件类型检测 - 字符串提取 - 熵值计算 - PE 头部分析 - YARA 规则匹配 2. **行为指标** - 可疑 API 调用 - 注册表修改 - 网络连接 - 文件操作 - 进程注入 3. **签名检测** - 已知恶意软件家族 - 加壳器识别 - 混淆检测 - 反分析技术 ### 高级功能 - **树搜索**：并行探索多种分析策略 - **自调试**：工具故障时自动恢复 - **意图驱动**：定义查找目标，AI 决定执行方式 - **成本追踪**：监控资源使用情况 ## 🏗️ 架构 ### 三层设计 ``` ┌─────────────────────────────────────┐ │ Intent Layer (Human) │ │ • Detection goals │ │ • Validation criteria │ └─────────────────────────────────────┘ ↓ ┌─────────────────────────────────────┐ │ Execution Layer (AI) │ │ ┌─────────────┐ ┌──────────────┐ │ │ │Tree Search │ │Self-Debugger │ │ │ └─────────────┘ └──────────────┘ │ │ ┌─────────────────────────────┐ │ │ │ Experiment Manager │ │ │ └─────────────────────────────┘ │ └─────────────────────────────────────┘ ↓ ┌─────────────────────────────────────┐ │ Analyzer Layer │ │ YARA | Strings | Entropy | PE │ └─────────────────────────────────────┘ ``` ## 📊 性能 ### 基准测试（与线性分析对比） | 指标 | 线性分析 | 树搜索 | 提升幅度 | |--------|--------|-------------|-------------| | 速度 | 12.5s | 4.8s | 快 2.6 倍 | | 检出率 | 78% | 95% | +17% | | 崩溃次数 | 3 | 0 | 改善 100% | | 成本 | $0.00 | $0.00 | 免费 | *基于 10 个已知家族的恶意软件样本测试* ## 🛠️ 安装 ### 环境要求 - Python 3.9+ - YARA (yara-python) - pefile (PE 分析) - ssdeep (模糊哈希) ### 安装依赖 ``` # Ubuntu/Debian apt install -y yara python3-yara ssdeep # Python 包 pip install -r requirements.txt ``` ### 可选工具 - **ClamAV**：基于签名的检测 - **VirusTotal API**：云端扫描 - **Cuckoo Sandbox**：动态分析 ## 📖 使用说明 ### 基础扫描 ``` python3 malwareguard.py scan sample.exe ``` ### 树搜索模式（推荐） ``` python3 malwareguard.py scan sample.exe \ --tree-search \ --workers 3 \ --max-steps 20 ``` ### 输出选项 ``` # JSON 输出 python3 malwareguard.py scan sample.exe --output results.json # Verbose 模式 python3 malwareguard.py scan sample.exe --verbose # 导出 Tree Visualization python3 malwareguard.py scan sample.exe \ --tree-search \ --export-tree analysis-tree.json ``` ## 🎯 检测能力 ### 可检测的恶意软件家族 - **勒索软件**：WannaCry, Locky, Cerber, Petya - **木马**：Zeus, Emotet, TrickBot, Dridex - **后门**：Cobalt Strike, Meterpreter, Poison Ivy - **挖矿程序**：XMRig, CGMiner 等加密货币挖矿程序 - **蠕虫**：Conficker, Stuxnet 变种 - **间谍软件**：键盘记录器、屏幕捕获器、数据窃取程序 ### 可检测的技术手段 - **加壳**：UPX, ASPack, Themida, 自定义加壳器 - **混淆**：字符串加密、控制流平坦化 - **反分析**：虚拟机检测、调试器检查、沙箱逃逸 - **持久化**：注册表键值、启动文件夹、计划任务 - **数据窃取**：HTTP/DNS 隧道、加密通道 ## 🔬 技术深入解析 ### 树搜索算法 MalwareGuard 使用最佳优先树搜索来探索分析空间： 1. **根节点**：初始文件分析 2. **扩展**：生成分析策略 3. **评分**：优先处理有潜力的路径 4. **剪枝**：舍弃低价值分支 5. **并行执行**：多个工作线程 ### 自调试引擎 工具故障时的自动恢复机制： 1. **错误分类**：超时、崩溃、API 失败等 2. **诊断**：识别根本原因 3. **修复生成**：调整参数 4. **重试**：执行改进后的方案 5. **学习**：记录成功的修复方案 ### 意图驱动架构 将“查找什么”与“如何查找”分离： - **malware-intent.yaml**：人工定义的检测目标 - **validation.py**：成功标准和阈值 - **analyzers/**：工具实现（由 AI 管理） ## 🚀 路线图 ### 第一阶段：核心分析（当前） - ✅ 静态分析工具 - ✅ 树搜索实现 - ✅ 自调试引擎 - ✅ YARA 集成 ### 第二阶段：高级检测（2026 年第二季度） - [ ] 机器学习分类 - [ ] 行为分析 - [ ] 网络流量分析 - [ ] 内存取证 ### 第三阶段：集成（2026 年第三季度） - [ ] Cuckoo Sandbox 集成 - [ ] VirusTotal API - [ ] MISP 威胁情报源 - [ ] 自动化报告 ### 第四阶段：自动化（2026 年第四季度） - [ ] 持续监控 - [ ] 自动分类 - [ ] 威胁狩猎 - [ ] 研究论文生成 ## 📚 文档 - [安装指南](docs/INSTALLATION.md) - [使用指南](docs/USAGE.md) - [架构说明](docs/ARCHITECTURE.md) - [贡献指南](CONTRIBUTING.md) - [API 参考](docs/API.md) ## 📄 许可证 MIT 许可证 - 详情见 [LICENSE](LICENSE)。 ## ⚠️ 免责声明 **仅供教育和经授权的安全研究使用** MalwareGuard 是一款安全研究工具。用户必须： - 在分析系统之前获得适当授权 - 遵守所有适用法律（如 CFAA, GDPR 等） - 仅在恶意软件样本上使用，不得用于生产系统 - 在隔离环境中安全处理恶意软件 未经授权的使用可能导致刑事起诉。 ## 📞 联系方式 - GitHub: https://github.com/arosstale/malwareguard - Issues: https://github.com/arosstale/malwareguard/issues - Twitter: @arosstale **MalwareGuard**：让恶意软件分析更快、更智能、更普及。

标签：Agent, AI安全, AMSI绕过, Chat Copilot, DAST, DNS信息、DNS暴力破解, DNS 反向解析, IP 地址批量处理, PE文件分析, Python, YARA, YARA规则, 二进制分析, 云安全监控, 云安全运维, 云资产可视化, 免费使用, 加壳识别, 反分析技术, 威胁检测, 开发者评论分析, 恶意软件分析, 无后门, 树搜索, 注册表监控, 熵计算, 生产就绪, 签名检测, 结构化查询, 网络信息收集, 网络安全, 网络连接分析, 自动化安全, 自动调试, 进程注入检测, 逆向工具, 隐私保护, 静态分析