EfeSidal/TersineMuhendislikProjesi-EntroRS-

# 🦀 EntroRS - 静态恶意软件分析与 PE 分析器 [🇹🇷 Türkçe](#turkce) | [🇬🇧 English](#english) ## 🇨🇳 中文 EntroRS 是一款使用 Rust 语言开发的高性能安全工具，专门用于对 Windows PE（可移植可执行文件）进行基于签名和启发式（heuristic）的静态分析。 ### 🚀 功能特性 * **PE 头分析：** 检测文件架构（x86/x64）和基本元数据。 * **节区解析：** 节区名称、原始大小与虚拟大小对比（潜在加壳检测）。 * **香农熵：** 通过数据密度分析数学揭示加密或加壳区域。 * **IAT（导入地址表）分析：** 映射外部导入的系统 DLL 和函数。 * **可疑 API 检测：** 自动标记关键函数，如反调试（`IsDebuggerPresent`）、内存操作（`VirtualAlloc`）和动态加载（`LoadLibraryA`）。 * **字符串分析：** 使用正则表达式提取硬编码的 URL、IP 地址和关键文件路径。 ### 📊 技术细节：熵引擎 该工具基于网络安全领域的"静态分析"学科构建。为了检测恶意软件的代码混淆技术，它将**香农熵**算法应用于每个 PE 节区： $$H(X) = - \sum P(x_i) \log_2 P(x_i)$$ 该数学模型对数据的随机性进行 0.0 到 8.0 的评分。高于 7.0 的值表明被分析的节区很可能经过了压缩或加密处理。 ### 🛠 安装和使用 **编译（发布模式）：** ``` cargo build --release ``` **运行：** ``` ./target/release/EntroRS.exe --file ``` ## 🇺🇸 英语 EntroRS is a high-performance static malware analysis tool developed in Rust, capable of signature-based and heuristic static analysis on Windows PE (Portable Executable) files. ### 🚀 功能 * **PE Header Analysis:** File architecture (x86/x64) and basic metadata detection. * **Section Parsing:** Raw Size vs Virtual Size correlation to identify potential packing. * **Shannon Entropy:** Mathematical data density analysis to expose encrypted or packed sections. * **IAT (Import Address Table) Analysis:** Mapping of externally imported system DLLs and functions. * **Suspicious API Detection:** Automated flagging of critical functions such as anti-debugging (`IsDebuggerPresent`), memory manipulation (`VirtualAlloc`),and dynamic loading (`LoadLibraryA`). * **Strings Analysis:** Regex-based extraction of hardcoded URLs, IP addresses, and critical file paths. ### 📊 技术详情: Entropy Engine This tool is built upon the core principles of the "Static Analysis" discipline in cybersecurity. To detect malware code obfuscation techniques, it applies the **Shannon Entropy** algorithm to each PE section: $$H(X) = - \sum P(x_i) \log_2 P(x_i)$$ This mathematical model scores the randomness of the data on a scale of 0.0 to 8.0. Values above 7.0 strongly indicate that the analyzed section has been subjected to compression or cryptographic routines. ### 🛠 安装和使用 **Build (Release Mode):** ``` cargo build --release ``` **Usage:** ``` ./target/release/EntroRS.exe --file ```

标签：AMSI绕过, API检测, Conpot, DAST, DevSecOps, DNS 反向解析, DOM解析, IAT分析, PEHeader, PE分析, PE结构, Rust, Section解析, Shannon熵, Windows安全, x64, x86, 上游代理, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 反调试, 可执行文件分析, 可视化界面, 威胁检测, 字符串提取, 导入表分析, 恶意软件分析, 打包检测, 混淆检测, 漏洞分析, 网络安全, 网络流量审计, 路径探测, 逆向工程, 通知系统, 隐私保护, 静态分析