Abyssal-Genesis/MalwareForge

# MalwareForge - AI-Powered Malware Analysis Toolkit ## 概览 MalwareForge 是一个结合了 **基于签名的检测** 与 **LSTM 神经网络** 的综合性恶意软件分析系统，用于 AI 驱动的验证、隔离和缓解。 ``` ┌─────────────────────────────────────────────────────────────────┐ │ MalwareForge Pipeline │ │ │ │ Files ──► Scanner ──► Signature Engine ──► LSTM AI ──► Result │ │ │ │ │ │ ▼ ▼ │ │ ┌───────────────┐ ┌───────────────┐ │ │ │ YARA + Hash │ │ LSTM Model │ │ │ │ Detection │ │ Verification │ │ │ └───────────────┘ └───────────────┘ │ │ │ │ │ │ ▼ ▼ │ │ ┌──────────────────────────────┐ │ │ │ Threat Classification │ │ │ │ clean/suspicious/malicious │ │ │ └──────────────────────────────┘ │ │ │ │ │ ▼ │ │ ┌───────────────────────┐ │ │ │ Quarantine + Remediation│ │ │ └───────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ## 功能 ### 1. 签名引擎 - **YARA 规则匹配** 用于已知恶意软件模式 - **基于哈希的检测**（MD5、SHA1、SHA256） - **熵分析** 用于检测打包或加密文件 - **PE 头解析** 用于可执行文件分析 ### 2. LSTM AI 检测器 - **双向 LSTM** 神经网络 - **字节级 n-gram 特征**（可配置 3-5 字节） - **词汇表大小**：4096 个特征 - **序列长度**：512 字节（可配置） - **实时推理**：约 50 毫秒/文件 ### 3. 递归扫描器 - **多线程并行扫描**（默认：8 个工作线程） - **智能排除** 系统目录 - **基于扩展名的过滤**（可执行文件、脚本、归档文件） - **带 ETA 估计的进度跟踪** - **大小限制**（默认：每个文件 100MB） ### 4. 隔离保险库 - **AES-256 加密** 存储样本 - **完整性验证**（SHA256 哈希校验） - **导出/备份** 功能 - **带完整审计日志的清单跟踪** ### 5. 缓解引擎 - **进程终止**（带确认） - **网络阻断**（iptables/Windows 防火墙） - **注册表清理**（Windows 专属） - **计划修复** 操作 ## 安装 ### Linux/macOS ``` cd MalwareForge pip install -r requirements.txt python train_lstm.py --mode train --data-dir ./samples python MalwareForge.py --help ``` ### Windows (可执行文件) ``` # 从源代码构建 python build_exe.py # 或使用预构建版本 MalwareForge.exe --help ``` ## 快速开始 ### 扫描目录 ``` python MalwareForge.py scan /path/to/scan --ai --quarantine ``` ### 分析单个文件 ``` python MalwareForge.py analyze malicious.exe --full ``` ### 训练 LSTM 模型 ``` python train_lstm.py --mode train --data-dir ./malware_samples ``` ### 交互模式 ``` python MalwareForge.py ``` ## 架构 ``` MalwareForge/ ├── core/ # Core detection engine │ ├── signature_engine.py # YARA + hash matching + entropy analysis │ └── __init__.py ├── ai/ # AI detection module │ ├── lstm_detector.py # LSTM neural network classifier │ └── __init__.py ├── scanner/ # File system scanner │ ├── recursive_scanner.py # Multi-threaded recursive scanner │ └── __init__.py ├── isolation/ # Quarantine system │ ├── quarantine.py # Encrypted vault management │ └── __init__.py ├── mitigation/ # Remediation actions │ ├── remediation.py # Process kill, network block │ └── __init__.py ├── utils/ # Utilities │ └── __init__.py ├── signature_db/ # YARA rules & hash database │ ├── rules.yar │ └── hash_db.txt ├── ai_model/ # Trained LSTM model │ └── malware_lstm.pt ├── tests/ # Test suite │ └── test_malwareforge.py ├── MalwareForge.py # Main entry point ├── train_lstm.py # Model training script ├── build_exe.py # Windows executable builder ├── MalwareForge.spec # PyInstaller spec └── requirements.txt # Python dependencies ``` ## 配置 ### YARA 规则（signature_db/rules.yar） ``` rule Suspicious_PE_Header { strings: $mz = "MZ" at 0 $pe = "PE\x00\x00" condition: $mz and $pe } rule Encrypted_Payload { strings: $xor = { 4? 5? 6? 7? } condition: $xor in (0..10) } ``` ### 哈希数据库（signature_db/hash_db.txt） ``` # 格式: HASH|type|description da39a3ee5e6b4b0d3255bfef95601890afd80709|malicious|Sample.Malware.Test abc123...|critical|Trojan.Generic ``` ## 性能 | Operation | Speed | |-----------|-------| | 签名扫描 | ~1000 文件/秒 | | LSTM 推理 | ~20 文件/秒 | | 完整分析 | ~15 文件/秒 | | 内存占用 | ~500MB（空闲），~2GB（扫描中） | ## 测试 ``` # 运行所有测试 python -m pytest tests/test_malwareforge.py -v # 运行特定模块测试 python -m pytest tests/test_malwareforge.py::TestLSTMDetector -v # 运行带覆盖率测试 python -m pytest tests/ --cov=MalwareForge --cov-report=html ``` ## 许可证 MIT License - See LICENSE file for details ## 作者 MalwareForge Development Team

标签：AI安全, Chat Copilot, DAST, LSTM, ntdll.dll, YARA, 云资产可视化, 云资产清单, 凭据扫描, 分类模型, 哈希检测, 威胁分类, 安全AI, 密钥泄露防护, 开发者评论分析, 恶意软件分析, 文件扫描, 机器学习安全, 深度学习安全, 特征提取, 签名检测, 网络安全, 逆向工具, 逆向工程, 隐私保护, 隔离与缓解