adaminbiri01/Malware-Forensics-Toolkit

# 🧬 Malware-Analysis-YDKJ — Yet Another Deep Kernel Jigsaw [](https://adaminbiri01.github.io) [](https://opensource.org/licenses/MIT) [](https://python.org) [](https://github.com) [](https://openai.com) [](https://anthropic.com) [](https://adaminbiri01.github.io) ## 🧩 概念概述 想象你是一位数字地下世界的考古学家。每个恶意软件样本都是一块残缺的碑文——破碎的操作码、散落的内存转储、混淆的字符串低语着半真半假的信息。**Malware-Analysis-YDKJ** 将这些碎片重新拼凑成一幅意图清晰的拼图。 本仓库引入了一个**全新框架**，它结合了： - **基于图启发式的静态分析** — 像绘制神经高速公路一样映射代码路径 - **动态沙箱遥测融合** — 融合来自多个环境的行为指纹 - **语义反编译** — 将汇编代码翻译成人类可读的威胁叙事 - **多 LLM 协同编排** — 利用 OpenAI GPT 和 Claude 交叉验证分析结果 与只展示原始数据的传统分析套件不同，YDKJ 构建了一个**叙事层**——一个关于恶意软件*企图成为什么*的故事。 ## 🧠 核心理念：拼图原则 ``` graph TD A[Raw Malware Sample] --> B{Static Analysis} A --> C{Dynamic Analysis} B --> D[Opcodes Map] B --> E[String Decoder] C --> F[API Call Trace] C --> G[Network Behavior] D --> H[Control Flow Graph] E --> H F --> H G --> H H --> I[Semantic Embedding Engine] I --> J[LLM Orchestrator: OpenAI + Claude] J --> K[Cross-Validated Threat Narrative] K --> L[YDKJ Report .json / .html] ``` 每一个片段——系统调用序列、注册表修改、编码的 payload——都能拼入更宏大的图景中。YDKJ 将分析视为一种**解谜对话**，而不是一份待办清单，这是在多个 AI 视角之间进行的交流。 ## 🛡️ 核心特性 ### 🔍 响应式分析 Pipeline - **模块化解析器架构** — 无需触碰核心逻辑即可添加自定义解包器 - 通过 WebSocket 为长时间运行的动态分析提供**实时进度流** - **响应式 UI**，基于轻量级本地 Web 服务器构建（内置基于 Flask 的控制面板） ### 🌐 多语种威胁报告 - 利用 LLM 能力将报告自动翻译成**12 种语言** - 针对特定地区恶意软件进行文化语境适配（例如：中国 APT、东欧勒索软件） - 支持特定区域设置的字符串解码（西里尔文、CJK、阿拉伯文、希伯来文） ### 🧪 双 LLM 交叉验证 - **OpenAI API** 用于广泛模式识别和叙事生成 - **Claude API** 用于细致的、注重安全性的解读以及边缘情况检测 - 差异报告会突出显示两个模型产生分歧的地方——这通常暗示着**故意的混淆** ### ⏱️ 24/7 自动化分析模式 - 用于 CI/CD 流水线的无头模式 - 监控目录中的新样本，进行分析，并将结果发送至 Slack/Teams/Discord webhooks - 内置针对 API 频率限制的指数退避重试逻辑 ### 💾 导出与集成 - **SARIF, STIX 2.1, MISP 事件格式**的标准化输出 - 提供直接的 Splunk/ELK 集成模板 - 根据识别出的模式生成 YARA 规则 ## 🖥️ 操作系统兼容性 | OS | 状态 | Emoji | |---|---|---| | Windows 10/11 | ✅ 全面支持 | 🪟 | | Ubuntu 20.04+ | ✅ 全面支持 | 🐧 | | macOS 12+ | ✅ 全面支持 | 🍎 | | Kali Linux | ✅ 全面支持 | 🐉 | | FreeBSD | ⚠️ 实验性支持 | 🐚 | | Android (Termux) | ⚠️ 部分支持 | 📱 | ## ⚙️ 示例配置文件 创建一个 `profile.ydkj.json` 以预定义分析偏好： ``` { "profile_name": "deep_dive_ransomware", "analysis_depth": "maximum", "llm_config": { "openai": { "model": "gpt-4-turbo", "temperature": 0.3, "api_key_env_var": "OPENAI_API_KEY" }, "claude": { "model": "claude-3-opus-20240229", "temperature": 0.4, "api_key_env_var": "CLAUDE_API_KEY" } }, "output": { "format": ["json", "html", "stix"], "translation": ["en", "ja", "ar", "es"], "auto_export": { "webhook_url": "https://hooks.slack.com/services/..." } }, "sandbox": { "timeout_seconds": 300, "capture_network": true, "memory_dump_on_crash": true }, "heuristics": { "anti_vm_detection": "report_only", "packer_detection": "auto_unpack", "string_entropy_threshold": 4.5 } } ``` ## 🧰 示例控制台调用 ``` # 基础分析 python ydkj.py --sample ./samples/suspicious.exe --profile default # 使用两种 LLM 进行深度分析 python ydkj.py --sample ./samples/ransomware.bin \ --profile deep_dive_ransomware \ --output ./reports/ # 无头批量处理 python ydkj.py --watch ./incoming/ \ --interval 30 \ --webhook https://discord.com/api/webhooks/... \ --verbose # 仅生成叙述（跳过沙箱） python ydkj.py --sample ./samples/script.js \ --static-only \ --llm-narrative ``` 预期输出片段： ``` [2026-03-15 14:32:01] 📦 Loading sample: ransomware.bin (SHA256: a1feefa...) [2026-03-15 14:32:05] 🔬 Static analysis complete: 1,432 opcodes, 89 encoded strings [2026-03-15 14:32:08] 🧪 Sandbox execution starting (timeout: 300s) [2026-03-15 14:32:12] 🌐 Network beacon detected: C2 pattern 'persistence.pulse[.]io' [2026-03-15 14:32:45] 🧠 OpenAI narrative: "Sample appears to be a polymorphic downloader..." [2026-03-15 14:33:02] 🧠 Claude narrative: "Disagrees on detection—suggests dropper behavior..." [2026-03-15 14:33:10] ⚠️ LLM Discordance detected (severity: medium) [2026-03-15 14:33:15] ✅ Report saved: ./reports/ransomware_b1a2c3.html ``` ## ⚠️ 免责声明 **Malware-Analysis-YDKJ** 仅供以下人员使用： - 进行授权恶意软件样本分析的**安全研究人员** - 调查受损系统的**应急响应人员** - 教授逆向工程和威胁情报的**教育机构** 作者对滥用本工具的行为**不承担任何责任**。用户需自行负责： - 确保拥有分析任何样本的合法权限 - 妥善隔离分析环境（物理隔离网络、一次性虚拟机） - 遵守所有与计算机欺诈、数据保护和数字证据处理相关的适用法律 本项目**不**提供任何免费的分析服务。不存在“零成本”版本。该工具需要有效的 OpenAI 和/或 Claude API 凭证才能发挥完整功能。 ## 🔗 集成 API ### OpenAI API YDKJ 将结构化的分析数据作为系统提示发送给 GPT-4 Turbo。模型会接收： - 作为有向图 JSON 的完整控制流图 - 带有熵值的解码字符串 - 行为汇总表 通过环境变量 `OPENAI_API_KEY` 进行配置。 ### Claude API Claude 接收相同的数据，但采用不同的预设——侧重于**安全影响**、**误报检测**和**对抗性反制措施**。通过环境变量 `CLAUDE_API_KEY` 进行配置。 两个 API 均**异步且并行**调用，仅在两者均完成后才合并结果。 ## 📜 许可证 本项目基于 **MIT 许可证** 授权 — 详见 [LICENSE](LICENSE) 文件。 ## 🧭 搜索引擎关键词 `malware analysis framework` • `automated reverse engineering` • `threat intelligence automation` • `LLM malware report` • `OpenAI GPT malware analyzer` • `Claude forensics tool` • `dynamic sandbox integration` • `malware narrative generation` • `cross-LLM validation` • `semantic decompilation tool` • `still under analysis response parsing` • `security research platform` [](https://adaminbiri01.github.io) **开始连接线索吧。** 恶意软件只是故事的开始——YDKJ 助你写出结局。 🔐🧩

标签：API调用追踪, Claude API, DAST, DNS 反向解析, OpenAI API, Petitpotam, Python, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 代码混淆, 内存转储分析, 动态沙箱, 图启发式, 多LLM编排, 威胁情报, 字符串解密, 安全 archaeology, 安全大模型, 开发者工具, 恶意软件分析, 无后门, 无线安全, 沙箱逃逸检测, 网络安全, 网络安全审计, 语义反编译, 逆向工程, 隐私保护, 静态分析