tarball0/Minnalize
GitHub: tarball0/Minnalize
将恶意软件二进制转换为灰度图像并使用卷积神经网络进行分类的恶意软件分析工具。
Stars: 0 | Forks: 0
# Minnalize
Minnalize 是一款为 ACM MITS Hackathon 开发的恶意软件分类工具,其核心采用**计算机视觉**进行二进制分类。通过将可执行文件转换为灰度图像,它使用微调的**卷积神经网络(CNN)**来识别恶意结构特征。这种可视化方法结合了传统的静态 PE 头分析和 Authenticode 签名验证。
该项目将二进制文件视为空间数据,保留字节序列的相关性,使传统静态分析可能遗漏的恶意指纹对深度学习模型可见。
## 逻辑流程
```
[ File Ingestion ]
|
v
[ Signature Check ] ----(Trusted)----> [ Low Suspicion ]
| |
(Unsigned) |
| |
v |
[ PE Header Parsing ] <-------------------------'
|
v
[ Binary-to-Image ] <-- (Core Analysis)
|
v
[ CNN Inference ]
|
v
[ Hybrid Scoring Engine ]
|
v
[ Final Report ]
```
## 功能特性
* **深度学习分类(CNN):** 核心引擎采用微调的 EfficientNet-B0 模型(PyTorch),基于良性和恶意二进制样本的图像表示进行训练,以检测恶意软件的视觉指纹。
* **二进制到图像转换:** 使用 Nataraj 风格的宽度映射将 .exe 文件转换为灰度图像。此过程使隐藏的恶意模式(如加壳代码、加密节或资源填充)对视觉模型可见。
* **静态 PE 分析:** 使用 `pefile` 库提取节熵、导入计数和可疑 API 调用(如 VirtualAlloc、LoadLibrary)等特征。
* **Authenticode 签名验证:** 利用 Windows PowerShell 功能(`Get-AuthenticodeSignature`)验证文件完整性并检查受信任的发布者。
* **混合评分引擎:** 将视觉信号(70% 权重)、静态规则(30% 权重)和签名元数据聚合为最终的可疑度评分(0-100)。
* **报告生成:** 为分配的风险等级提供人类可读的解释,详细说明特定的 PE 异常或 CNN 置信度边界。
* **Electron 界面:** 使用 Electron 构建的桌面 UI,用于无缝导入文件和结果可视化。
## 技术栈
* **前端:** Electron、JavaScript、HTML、CSS。
* **后端:** Python 3。
* **库:** PyTorch、Torchvision、NumPy、Pillow、pefile。
* **系统集成:** Windows PowerShell。
## 架构设计
1. **导入:** 用户通过 Electron UI 选择文件。
2. **签名检查:** 系统首先检查 Authenticode 签名。来自受信任发布者(如 Microsoft、Google)的有效签名会显著降低可疑度评分。
3. **PE 解析:** 解析 PE 头以检测结构异常、高熵(表示加壳或加密)和可疑导入。
4. **可视化(核心):** 将二进制映射到灰度图像。图像宽度根据文件大小进行调整,以保持 CNN 的恒定模式密度。
5. **CNN 推理:** 将图像传递给 EfficientNet-B0 以检测恶意视觉指纹。这是最终判定的主要驱动因素。
6. **融合:** 最终判定使用 CNN 输出(70%)和 PE 规则(30%)的加权混合(针对未签名文件)。
## 作者
* [Fahad](https://github.com/Fahad-uz)
* [Chris Paul](https://github.com/tarball0)
* [Aidan Jason](https://github.com/AidanJ07)
## 需求
* **操作系统:** Windows(完整 PowerShell 签名验证需要)。
* **Python:** 3.8+,需安装 `torch`、`torchvision`、`pefile` 和 `numpy`。
* **Node.js:** 用于 Electron 前端。
为 ACM MITS Hackathon 开发。
标签:AI合规, Authenticode签名, CNN, Conpot, DAST, EfficientNet, Nataraj风格, PE文件分析, PyTorch, Windows安全, 二进制分析, 二进制逆向, 云安全监控, 云安全运维, 凭据扫描, 加壳检测, 图像分类, 恶意软件 triage, 恶意软件分析, 数据可视化, 深度学习, 混淆检测, 网络安全, 计算机视觉, 逆向工具, 隐私保护, 静态分析