owlsecx/OMalice

# 🦠 OMalice

## 📌 概述 OMalice 旨在对可疑文件（EXE、DLL、脚本、文档、压缩包等）进行安全的被动分析。它将多种分析技术结合在一个简洁的界面中，提供彩色输出和详细的报告。支持可选的 `yara-python` 和 `pefile` 以增强功能。 **⚠️ 法律声明**：**仅**在您被授权分析的文件上使用。请在隔离环境（VM/沙箱）中运行。 ## 🖥️ 模块 | # | 模块 | 描述 | |---|-------------------------|-------------| | **[1]** | **静态分析** | 文件信息、Magic Bytes、哈希、PE 头、导入表、导出表、加壳检测 | | **[2]** | **字符串提取器** | 提取并分类 ASCII/Unicode 字符串（URL、IP、命令、注册表、路径、base64…） | | **[3]** | **熵值分析器** | 计算香农熵，检测加壳/加密，可视化熵值图 | | **[4]** | **IOC 提取器** | 提取失陷指标（C2 IP、域名、钱包、互斥体、管道、注册表键…） | | **[5]** | **YARA 扫描器** | 使用内置或自定义 YARA 规则对文件进行匹配 | | **[6]** | **完整分析** | 对单个文件运行所有模块并生成综合报告 | ## 📊 关键特性 - **多格式支持**：PE (EXE/DLL)、ELF、Mach-O、ZIP/APK、PDF、Office 文档、脚本… - **PE 深度分析**：节区、导入/导出、ASLR/DEP/CFG 标志、编译时间戳、可疑导入 - **字符串分类**：URL、IP、邮箱、注册表键、命令、加密货币钱包、洋葱地址… - **熵值映射**：逐块熵值分析，带有可视化条形图和加壳检测 - **IOC 提取**：可直接用于报告或 MISP 导出的指标 - **YARA 支持**：内置规则 + 自定义规则文件支持（可选 yara-python） - **JSON 导出**：每个模块或组合会话的完整结构化报告 ## ⚙️ 系统要求 - **Linux 或 Windows** - **无需安装 Python** — 作为独立可执行文件运行 - **可选**： - `yara-python` → 用于完整的 YARA 规则支持 - `pefile` → 用于增强的 PE 解析 ## 🚀 使用方法 ``` ./OMalice Command-line examples: Bash./OMalice -f suspicious.exe ./OMalice -f sample.exe --all ./OMalice -f malware.bin -i --output report.json 📁 Output All reports are saved with timestamp: omalice_static_YYYYMMDD_HHMMSS.json omalice_strings_YYYYMMDD_HHMMSS.json omalice_entropy_YYYYMMDD_HHMMSS.json omalice_ioc_YYYYMMDD_HHMMSS.json omalice_yara_YYYYMMDD_HHMMSS.json omalice_full_YYYYMMDD_HHMMSS.json MISP-compatible export option for IOCs 📦 Part of OwlSec Toolkit This tool is part of the OwlSec suite — a collection of 300+ security and privacy tools. 🔗 owlsec.org ©️ License Proprietary — © Khaled S. Haddad Tools are distributed as pre-built executables. Source code is proprietary. FOR AUTHORIZED MALWARE ANALYSIS ONLY ```

标签：AMSI绕过, DAST, DeepSeek, DNS信息、DNS暴力破解, DNS 反向解析, DNS 解析, IOC提取, IP 地址批量处理, OwlSec工具包, PE文件解析, Python安全工具, YARA规则, 二进制分析, 云安全运维, 威胁检测, 字符串提取, 恶意软件分析, 数字取证, 文件类型识别, 熵值分析, 网络信息收集, 网络安全审计, 自动化脚本, 逆向工具, 静态分析引擎