selefaith26/Malware-Analysis---Secure-Programming

# 恶意软件分析 - 安全编程 # CST 535 - 使用 Python 实现恶意软件分析工具。 # 大峡谷大学 # 作者：Ortasele Aisuan ## 概述 该工具是一个使用 Python 构建的静态恶意软件分析程序。它分析了三个模拟的恶意软件文件——勒索软件、木马和间谍软件；并基于可疑模式检测、加密哈希和熵分析对每个文件生成判定结果。 这些模拟文件不包含任何真实的恶意代码。它们是基于文本的恶意软件行为模式表示，严格用于教育和分析目的。 ## 包含的文件 | 文件 | 用途 | |---|---| | malware_analyzer.py | 主分析工具 — 运行此文件 | | ransomware.py | 模拟勒索软件行为模式 | | trojan.py | 模拟木马/后门行为模式 | | spyware.py | 模拟间谍软件/键盘记录器行为模式 | ## 如何运行 **步骤 1 — 确保已安装 Python** 打开终端并输入： ``` python --version ``` 你应该会看到 Python 3.x.x **步骤 2 — 安装唯一必需的库** ``` pip install colorama ``` **步骤 3 — 将这四个文件放在同一个文件夹中** **步骤 4 — 运行该工具** ``` python malware_analyzer.py ``` 这样就好了。该工具将自动分析所有三个文件并显示结果。 ## 输出含义 **判定级别：** - CRITICAL — 检测到强烈的恶意软件指标（勒索软件、键盘记录器） - HIGH — 检测到明显的可疑行为（后门、shell 执行） - MEDIUM — 检测到中度可疑指标 - LOW — 检测到轻微可疑指标 - CLEAN — 未发现可疑指标 **输出字段：** - File — 被分析的文件名 - Size — 文件大小（以字节为单位） - MD5 / SHA-256 — 文件内容的加密哈希值 - Entropy — 随机性度量（高熵可能表明存在加密） - Verdict — 总体威胁级别 - Indicators — 触发判定的特定模式 ## 工具工作原理 分析器读取每个文件，从内容中提取可读字符串，并根据与每种恶意软件类型相关的已知可疑模式列表进行检查。然后根据其发现的结果计算严重性判定。 这种方法被称为静态分析，文件永远不会被执行。该工具仅读取和检查内容，这是真实网络安全工作流中使用的安全且标准的方法。 ## 关于模拟的恶意软件文件 ### ransomware.py 模拟文件加密勒索软件的行为模式。 包含对加密函数、文件系统遍历和勒索信语言的引用。勒索软件是一种恶意软件，它加密受害者的文件并要求付款以换取解密密钥（Pfleeger, Pfleeger, & Coles-Kemp, 2024）。 ### trojan.py 模拟远程访问木马 (RAT) 的行为模式。 包含对注册表持久化、套接字连接和 shell 命令执行的引用。木马将自己伪装成合法软件，同时秘密为攻击者打开后门访问权限 (Coronado, A. S., 2013)。 ### spyware.py 模拟键盘记录器/间谍软件程序的行为模式。 包含对键盘监视、输入捕获和数据渗透的引用。间谍软件秘密监视用户活动，并将收集到的数据发送给远程攻击者 (Ahmed, S. E., 2015)。 ## 学术参考文献 Sommerville, I. (2016). Software engineering (10th ed.). Pearson Education. Pfleeger, C., Lawrence Pfleeger, S., & Coles-Kemp, L. (2024). Security in computing (6th ed.). Pearson. Coronado, A. S. (2013). Computer Security: Principles and Practice, Second Edition. Journal of Information Privacy & Security, 9(2), 62–65. https://doi-org.lopes.idm.oclc.org/10.1080/15536548.2013.10845680 Ahmed, S. E. (2015). Principles of Information Security (5th Ed.) Michael E. Whitman Herbert J. Mattord. Technometrics, 57(3), 442. ## 更多信息 #### 关于 ransomware.py 的更多信息 Greene, J. M. (2026). Ransomware. Salem Press Encyclopedia of Science. #### 关于 trojan.py 的更多信息 Lingasubramanian, K., Kumar, R., Gunti, N. B., & Morris, T. (2018). Study of hardware trojans based security vulnerabilities in cyber physical systems. 2018 IEEE International Conference on Consumer Electronics (ICCE), Consumer Electronics (ICCE), 2018 IEEE International Conference On, 1–6. https://doi-org.lopes.idm.oclc.org/10.1109/ICCE.2018.8326180 #### 关于 spyware.py 的更多信息 Biscontini, T. (2026). Spyware. Salem Press Encyclopedia of Science. ## 免责声明 本项目仅出于教育目的，是大学课程作业的一部分。模拟的恶意软件文件不包含任何真实的恶意代码，不会对任何系统造成危害。它们的存在仅是为了在安全、受控的环境中演示恶意软件分析技术。

标签：AMSI绕过, DAST, DNS 反向解析, Golang, MD5, Python, SHA-256, 云安全监控, 加密哈希, 勒索软件, 后门, 威胁检测, 安全编程, 恶意软件分析, 教育项目, 无后门, 木马, 模式检测, 沙箱模拟, 熵分析, 网络安全, 逆向工具, 键盘记录器, 间谍软件, 隐私保护, 静态分析