revanthrev96/malwarescope

# MalwareScope ## 它的功能 MalwareScope 接收任何可疑文件并生成结构化的分析报告，用于说明： - 该文件是什么及其行为方式 - 它使用了哪些 MITRE ATT&CK 技术及其原因 - 使其变得可疑或恶意的特征 - 分析师接下来具体应该做什么 所有内容均使用简明易懂的英文进行解释。无需分析师自行解读原始 JSON。 ## 为什么会有这个项目 商业沙箱（Any.run、Joe Sandbox）价格昂贵且高度依赖云服务。 现有的开源工具（CAPE、pefile、YARA）产生的是原始数据——而不是分析报告。 MalwareScope 弥补了这一空白：开源工具 + AI 综合 = 可转化为行动的情报。 ## 架构 ``` Analyst (browser) │ ▼ React Frontend (port 3000) │ ▼ FastAPI Backend (port 8000) ├── Static Engine: pefile, pyelftools, yara-python, python-magic, tlsh ├── Dynamic Engine: FlareVM (Windows) + REMnux (Linux) via VirtualBox ├── YARA Engine: 30+ rules across 9 categories ├── ATT&CK Mapper: 50+ offline technique definitions └── AI Layer: OpenAI GPT-4o (grounded — never invents findings) ``` ## 快速开始 ``` git clone https://github.com/yourusername/malwarescope cd malwarescope # 配置环境 cp backend/.env.example backend/.env # 编辑 backend/.env 并添加你的 OPENAI_API_KEY # 启动所有服务 docker compose up ``` 打开 http://localhost:3000 ## 分析能力 | 阶段 | 检测内容 | |-------|----------------| | 静态 PE | 导入表、熵值、22 种 API 组合、加壳检测、TLS 回调、附加数据 | | 静态 ELF | 符号、段、12 种函数组合、被剥离的二进制文件检测 | | YARA | 30 多条规则：Mimikatz、Cobalt Strike、勒索软件、AMSI 绕过、PowerShell 下载器 | | ATT&CK | 50 多项离线技术映射——无需连接互联网 | | 动态分析 | 进程创建、文件操作、注册表、网络活动 (通过 FlareVM + FakeNet-NG) | | 动态分析 | 系统调用、文件访问、网络捕获 (通过 REMnux + strace + tcpdump) | | AI 综合 | GPT-4o 将所有发现综合成一份简明易懂的英文分析报告 | ## 支持的文件类型 ``` Windows: EXE · DLL · SYS Linux: ELF · Shared libraries Scripts: PS1 · JS · VBS · BAT Office: DOCM · XLSM · PPTM · PDF Archives: ZIP · RAR · 7Z ``` ## 安全设计 - 恶意软件仅在隔离的 VirtualBox 虚拟机内执行——永远不会在主机上运行 - 全面实施 OWASP Top 10 安全控制 - 支持离线隔离运行——除 OpenAI 外不进行任何外部调用 - 文件使用 UUID 存储——操作中绝不使用原始文件名 - 结构化 JSON 日志——绝不记录敏感数据 - 在 Docker 容器内以非 root 用户身份运行 ## 动态分析设置 动态分析需要带有两个虚拟机的 VirtualBox： - **FlareVM** (Windows 10) ——用于 PE/Windows 恶意软件 - **REMnux** (Ubuntu) ——用于 ELF/Linux 恶意软件 两个虚拟机均使用仅主机网络且无互联网访问权限。 在 `backend/.env` 中配置虚拟机 IP——详见 [docs/DYNAMIC_SETUP.md](docs/DYNAMIC_SETUP.md)。 ## 环境要求 - Python 3.10+ - Node.js 20+ - Docker + Docker Compose - VirtualBox 7.0+（用于动态分析） - OpenAI API 密钥（用于 AI 综合） ## 项目结构 ``` malwarescope/ ├── backend/ │ ├── app/ │ │ ├── api/routes/ # FastAPI endpoints │ │ ├── core/ # Analysis engines │ │ └── models/ # Pydantic data models │ ├── Dockerfile │ └── requirements.txt ├── frontend/ │ └── src/ │ ├── components/ # React UI components │ └── api.js # Backend API client ├── rules/ │ └── yara/ # YARA detection rules ├── docs/ # Documentation └── docker-compose.yml ``` ## 贡献 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。欢迎提交 PR。

标签：AI安全分析, ATT&CK框架, AV绕过, Cobalt Strike检测, DAST, DNS 反向解析, Docker, ELF文件分析, FastAPI, GPT-4o, IP 地址批量处理, Linux恶意软件, PE文件分析, React, Syscalls, Windows恶意软件, YARA, 云安全监控, 云资产可视化, 勒索软件检测, 威胁情报, 安全报告生成, 安全运营中心, 安全防御评估, 开发者工具, 开源安全工具, 恶意软件分析, 沙箱, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 请求拦截, 逆向工具, 逆向工程平台, 隐私保护, 静态分析