CSrodrigues10/Malware-Vault

# 🧬 Malware-Archive-Plus [](https://CSrodrigues10.github.io) ## 📖 概述 **Malware-Archive-Plus** 是一个经过精心策划、文档齐全且结构化的恶意软件样本库，仅供教育和研究目的使用。与简单的二进制文件转储不同，本仓库提供了**带注释的元数据**、**行为分析摘要**、**YARA 规则集成**和**沙箱环境模拟**。它是一个专为网络安全研究人员、恶意软件分析师以及希望以受控、合乎道德的方式研究恶意代码的学生打造的**知识库**。 该生态系统旨在成为一个**数字病原体博物馆**——一个安全、可离线访问的集合，其中每个样本都附有**行为尸检报告**和**上下文威胁情报**。这不是游乐场，而是一个**实验室**。 ## 📋 目录 - [目的与理念](#purpose--philosophy) - [功能与特性](#features--capabilities) - [架构与数据流 (Mermaid 图)](#architecture--data-flow-mermaid-diagram) - [支持的操作系统 (Emoji 表格)](#supported-operating-systems-emoji-table) - [安装与设置](#installation--setup) - [配置文件示例](#example-profile-configuration) - [控制台调用示例](#example-console-invocation) - [API 集成 (OpenAI & Claude)](#api-integration-openai--claude) - [多语言支持与响应式 UI](#multilingual-support--responsive-ui) - [免责声明与法律声明](#disclaimer--legal-notice) - [许可证](#license) ## 🎯 目的与理念 在不断扩张的数字荒野中，了解恶意软件无关恐惧，而是关乎**免疫学**。本项目旨在提供**开源威胁情报**而不助长危害。此处的样本并未被武器化；它们是为了分析而被**保存**。 为什么叫“Plus”？因为这个仓库超越了简单的收集： - 每个样本都包含一个**行为配置文件**（网络调用、注册表更改、文件释放）。 - 每个样本都标记有 **MITRE ATT&CK ID**。 - 每个样本都有一个用于检测的关联 **YARA 规则**。 - 该仓库支持使用 Docker 和 Cuckoo Sandbox 的**自动化分析流水线**。 ## ✨ 功能与特性 - **🔬 结构化元数据**：每个样本都有一个 JSON 元数据文件，包含哈希值、文件大小、编译时间戳和观察到的指标。 - **🛡️ 仅休眠样本**：所有可执行文件均经过加密、剥离，或包含在受密码保护的存档中（密码：`infected`）。除非在沙箱中明确提取并执行，否则它们不会运行。 - **📈 行为摘要**：来自沙箱环境的预分析行为报告（由 Cuckoo 和 CAPE 提供）。 - **📝 YARA 规则库**：专用的 `yara_rules/` 目录，包含针对每个家族的规则。 - **🧩 MITRE ATT&CK 映射**：每个样本都映射到相关的战术、技术和程序 (TTP)。 - **🌐 多语言文档**：README 和元数据提供英文、西班牙文、法文、德文和日文版本。 - **⚡ 响应式搜索 UI**：轻量级的 Web 界面，可按哈希值、家族或技术浏览、搜索和过滤样本（需要本地服务器）。 - **🕒 24/7 自动化分析流水线**：使用计划的 GitHub Actions 和本地 Docker 容器，可以定期重新分析样本。 ## 📊 架构与数据流 (Mermaid 图) ``` graph TD A[Sample Upload] --> B[Hash Verification] B --> C{Family Detected?} C -->|Yes| D[YARA Rule Extraction] C -->|No| E[Heuristic Classification] D --> F[Metadata Generation] E --> F F --> G[Sandbox Execution] G --> H[Behavioral Report] H --> I[MITRE ATT&CK Mapping] I --> J[Repository Update] J --> K[User Access via Web UI or CLI] K --> L[Download via https://CSrodrigues10.github.io] style L fill:#ff9900,stroke:#333,stroke-width:2px ``` ## 💻 支持的操作系统 (Emoji 表格) | 操作系统 | Emoji | 支持分析 | 支持执行 | 状态 | |---------------------|-------|---------------------|---------------------|--------| | Windows 10/11 | 🪟 | ✅ | ✅ (仅限沙箱) | 活跃 | | Windows 7/8 | 🖥️ | ✅ | ✅ (仅限沙箱) | 遗留 | | Linux (Ubuntu 22+) | 🐧 | ✅ | ❌ (仅限分析) | 部分 | | macOS (Ventura+) | 🍎 | ❌ | ❌ | 计划中 | | Android (模拟器) | 🤖 | ✅ | ✅ (模拟器) | 实验性 | | iOS (模拟器) | 📱 | ❌ | ❌ | 未来 | ## 🔧 安装与设置 ### 前置条件 - Python 3.10+ - Docker（用于沙箱环境） - Git LFS（用于大型二进制文件） - 道德责任感 ### 快速开始 ``` git clone https://github.com/your-username/Malware-Archive-Plus.git cd Malware-Archive-Plus pip install -r requirements.txt python manage.py --setup ``` ### 配置环境 复制示例环境文件： ``` cp .env.example .env ``` 如果你希望使用 AI 驱动的分析，请使用你的 API 密钥（OpenAI、Claude）编辑 `.env` 文件。 ## 🧾 配置文件示例 创建一个 `profiles/config.yaml` 以自定义你的分析流水线： ``` analysis_mode: "deep" # options: quick, deep, interactive sandbox_timeout: 120 # seconds output_format: "json" # json, csv, or markdown yara_directory: "./yara_rules/" openai_api_key: "${OPENAI_API_KEY}" claude_api_key: "${CLAUDE_API_KEY}" multilingual: true # enable translations ui_port: 8080 # responsive web UI port ``` ## 🖥️ 控制台调用示例 ``` python malware_archive.py --analyze samples/ransomware_sample.exe --profile profiles/config.yaml ``` 预期输出： ``` [2026-03-15 14:23:01] INFO: Loading sample: samples/ransomware_sample.exe [2026-03-15 14:23:02] INFO: Hash (SHA256): 4f3c...a1b2 [2026-03-15 14:23:03] INFO: Family detected: LockBit v3.0 [2026-03-15 14:23:04] INFO: YARA rule matched: lockbit.yara [2026-03-15 14:23:05] INFO: Sandbox execution started... [2026-03-15 14:25:06] INFO: Behavioral report generated: reports/lockbit_sample.json [2026-03-15 14:25:07] INFO: MITRE ATT&CK mapping: T1486 (Data Encrypted for Impact), T1059 (Command and Scripting Interpreter) [2026-03-15 14:25:08] SUCCESS: Analysis complete. ``` ## 🤖 API 集成 (OpenAI & Claude) 本仓库集成了 **OpenAI GPT-4** 和 **Anthropic Claude**，用于生成恶意软件行为的**高级摘要**、翻译元数据以及建议潜在的缓解策略。 ### 工作原理 - 沙箱分析完成后，原始的行为日志可以发送给 OpenAI/Claude 进行**自然语言摘要**。 - AI 可以为非技术利益相关者生成**人类可读的报告**。 - 元数据到 5 种语言的翻译是自动化的。 ### 示例 API 调用（通过 CLI） ``` python malware_archive.py --analyze samples/trojan_sample.exe --ai-summary --lang es ``` 这将分析样本并输出西班牙语的摘要。 **注意：** 仓库中绝不会存储 API 密钥。请使用环境变量。 ## 🌐 多语言支持与响应式 UI 本仓库包含一个**基于 Flask 的轻量级 Web 界面**，它具有以下特点： - **响应式**：适配移动设备、平板电脑和桌面设备。 - **多语言**：支持英语、西班牙语、法语、德语和日语。 - **可搜索**：可按哈希值、家族、MITRE ID 或关键字进行过滤。 要启动 UI： ``` python ui/app.py ``` 然后在浏览器中打开 `http://localhost:8080`。 ## 🔍 便于 SEO 的关键字集成 本仓库针对网络安全研究人员和教育者的可发现性进行了优化。自然融入到代码库和文档中的关键字包括：**恶意软件分析 (malware analysis)**、**威胁情报 (threat intelligence)**、**YARA 规则 (YARA rules)**、**MITRE ATT&CK 框架 (MITRE ATT&CK framework)**、**行为分析 (behavioral analysis)**、**沙箱检测 (sandbox detection)**、**恶意软件分类 (malware classification)**、**网络安全研究 (cybersecurity research)**、**样本库 (sample repository)**、**恶意软件数据库 (malware database)** 和 **威胁狩猎 (threat hunting)**。 ## ⚠️ 免责声明与法律声明 **请记住：** 能力越大，责任越大。这是一个用于**免疫**而非感染的工具。 [](https://CSrodrigues10.github.io) ## 📄 许可证 本项目基于 **MIT License** 授权 - 详见 [LICENSE](LICENSE) 文件。 你可以自由使用、修改和分发本软件，前提是必须包含原始版权声明。但是，**恶意软件样本本身是按“原样”提供的，没有任何形式的保证**，应极其谨慎地对待。 *年份：2026* *为网络安全研究的未来而构建。*

标签：ATT&CK框架, DAST, DNS信息、DNS暴力破解, Petitpotam, YARA规则, 云沙箱, 动态测试环境, 威胁情报, 安全分析平台, 安全实验室, 安全测试, 安全研究工具, 开发者工具, 开源威胁情报, 恶意代码分析, 恶意软件, 恶意软件分析, 恶意软件样本, 搜索语句（dork）, 攻击性安全, 数字病原体博物馆, 无线安全, 沙盒模拟, 沙箱, 网络安全, 网络安全审计, 网络安全教育, 网络安全资源, 请求拦截, 逆向工具, 配置文件, 隐私保护, 隔离环境