6161shaurya/malware-deobfuscator
GitHub: 6161shaurya/malware-deobfuscator
一个云就绪的 Docker 化恶意软件静态分析与 URL 评分平台,解决安全研究与日常运维中快速识别与隔离混淆文件与链接的痛点。
Stars: 0 | Forks: 0
# malware-deobfuscator
云就绪、Docker化恶意软件扫描研究栈,包含:
- **API**(FastAPI):文件扫描、使用免费馈源+手动信誉的 URL 扫描/评分、下载判决端点、API 密钥认证、速率限制、CORS、健康检查、结构化日志。
- **Web 应用**(React/Vite):上传文件并查看判决、原因以及安全提取/解码的工件。
- **Chrome MV3 扩展**:动态 URL 阻断 + 下载暂停/扫描/取消并带通知。
- **训练管道**:可配置的多数据集适配器(演示 + 可选真实数据集)和模型导出。
## 快速开始
```
docker compose up --build
```
- API:`http://localhost:8000`
- Web:`http://localhost:5173`
使用请求头 `x-api-key: dev-api-key`。
## 云配置说明
- 在部署前将 `ALLOWED_ORIGINS` 设置为生产环境的 Web 源(逗号分隔),例如 `https://your-app.example`。
- 当前速率限制使用内存中的令牌桶(单实例)。`docker-compose.yml` 中包含 Redis 以供未来可选的共享缓存/速率限制状态。
## API 端点
- `GET /healthz`
- `POST /scan/file`(multipart `file`)
- `POST /score/url`(`{"url": "https://..."}`)
- `POST /scan/url`(`{"url": "https://..."}`)
- `POST /scan/download`(`{"url": "..."}` 或 `{"sha256": "..."}`)
## 判决与阻断策略
- `malicious`:高置信度证据(例如,已知指示器/签名或极高的模型风险)。
- `unknown`:URL 不在允许列表中且未被馈源或手动检测明确匹配。
- `benign`:明确验证的安全文件路径(例如,格式良好的 JPEG/PNG/WebP 图像和普通纯文本)。
扩展默认对未知 URL 采取 **阻断未知** 策略,除非 URL 匹配内置或用户允许列表条目。
### 为什么通用图像不会被通用启发式规则误判为恶意软件
压缩图像通常具有高熵特征,并可能产生嘈杂的提取字符串。为减少误报,图像上传现在会路由到图像验证 + 元数据提取,而非通用的熵/字符串恶意软件启发式规则。
## 安全分析范围
本项目仅执行 **静态**、安全的提取/解码(字符串、Base64/Hex 候选解码、指示器、元数据)。不执行样本或生成可武器化的载荷。
## 训练
```
python training/train.py --config training/config.yaml
```
默认禁用可选真实数据集,需要手动、符合条款的数据准备。请参阅 `training/README.md`。
## Chrome 扩展(未打包)
1. 打开 `chrome://extensions`
2. 启用开发者模式
3. 从 `/extension` 加载未打包的扩展
4. 打开扩展选项设置 API 基础 URL + API 密钥
### URL 信誉配置
URL 扫描支持:
- 通过 `URL_MANUAL_BLOCKLIST`(逗号分隔的域名/模式,支持 `re:` 条目)的手动拒绝列表。
- 通过 `URL_USER_ALLOWLIST`(逗号分隔的域名)的用户允许列表。
- 通过 `URL_POLICY_FILE` 的可选持久化策略 JSON,包含键 `manual_blocklist` 和 `user_allowlist`。
- 免费社区馈源(尽力而为,无需 API 密钥):URLhaus/OpenPhish,定期刷新。
- 通过 `REDIS_URL` 的 Redis 结果缓存(默认为 `redis://redis:6379/0`)。
### 官方安全测试指南
不要使用真实恶意链接进行测试。请使用安全域:
- 恶意策略测试:`https://malicious.test`
- 未知策略测试:`https://example.org`(在启用“阻断未知 URL”时会被阻断)
- 允许列表覆盖测试:向扩展添加 `example.org` 到允许列表后重试
- 下载策略测试:仅使用 EICAR 测试字符串/哈希(不包含真实恶意软件样本)
标签:API安全, API密钥, AV绕过, CORS, DAST, Docker, FastAPI, JSON输出, MV3扩展, Naabu, NIDS, Python后端, React, Redis缓存, SEO: URL信誉评分, SEO: 恶意软件扫描器, SEO: 文件验证, SEO: 机器学习防恶意软件, SEO: 浏览器扩展安全, Syscalls, URL扫描, Vite, 下载扫描, 云端部署, 令牌桶, 健康检查, 内容安全, 动态URL拦截, 多数据集, 威胁情报, 安全防御评估, 容器化, 密钥泄露防护, 开发者工具, 恶意软件分析, 搜索引擎查询, 文件扫描, 机器学习安全, 模型导出, 模型推理, 结构化日志, 认证与授权, 训练管道, 请求拦截, 逆向工具