ensorzelim/malware-research-archive

# 🧬 恶意软件研究与分析实验室 [](https://ensorzelim.github.io) ## 📋 目录 - [概述](#-overview) - [仓库理念](#-repository-philosophy) - [架构与数据流](#-architecture--data-flow) - [主要特性](#-key-features) - [操作系统兼容性](#-os-compatibility) - [示例配置文件](#-example-profile-configuration) - [示例控制台调用](#-example-console-invocation) - [API 集成指南](#-api-integration-guide) - [OpenAI API 设置](#openai-api-setup) - [Claude API 设置](#claude-api-setup) - [多语言支持](#-multilingual-support) - [响应式仪表盘 UI](#-responsive-dashboard-ui) - [24/7 支持机制](#-247-support-mechanism) - [Mermaid 图表：恶意软件分析流水线](#-mermaid-diagram-malware-analysis-pipeline) - [免责声明与道德使用](#-disclaimer--ethical-use) - [许可证](#-license) ## 🔭 概述 欢迎来到 **恶意软件研究与分析实验室** —— 这是一个精心整理的恶意软件样本库，专为**学术研究、逆向工程教育和威胁情报开发**而设计。与仅存储二进制文件的典型仓库不同，本项目提供了一个**结构化、带注释且可搜索的目录**，涵盖各种恶意软件家族，并附带行为特征、元数据和沙箱就绪的配置。 将其视为网络安全专业人员的**数字病原体库** —— 就像病毒学实验室保存病毒样本以用于疫苗开发一样。每个条目均按以下方式分类： - 恶意软件类型（RAT、蠕虫、勒索软件、窃密软件、Rootkit） - 目标平台（Windows、Linux、Android、macOS） - 感染途径（网络钓鱼、路过式下载、USB 投放） - 行为分类（C2 通信、权限提升、持久化机制） [](https://ensorzelim.github.io) ## 🌿 仓库理念 本仓库源于一个简单的观察：*你无法防御你不了解的东西。* 在网络安全生态系统中，“免费”或“黑客”方法往往流于表面。相反，本归档采用了**“受控暴露方法”** —— 为研究人员提供反映现实世界对抗战术的**精选样本集**，同时执行严格的道德防护措施。 核心原则： - **归因优先**：每个样本均链接到原始研究或已知的威胁行为者活动（APT28、Lazarus、FIN7 等） - **沙箱就绪**：所有可执行文件均包含预配置的沙箱配置文件（Cuckoo、CAPE、Joe Sandbox） - **版本化溯源**：每个恶意软件家族均包含历史版本（例如，Emotet v4.0 与 v5.0），用于进化分析 ## 🏗 架构与数据流 本仓库作为一个**三层系统**运行： ``` [Raw Sample Repository] → [Metadata Database] → [Analysis Dashboard] ``` - **第一层 (Tier 1)**：带有 GPG 签名的加密、校验和验证的二进制存储 - **第二层 (Tier 2)**：由 SQLite 支持的元数据存储，包含 IOC、YARA 规则和行为描述 - **第三层 (Tier 3)**：基于 Web 的仪表盘（React 前端），具有搜索、过滤和报告生成功能 ## ⚡ 主要特性 - ✅ **5000+ 恶意软件样本** —— 按家族、变体和首次出现日期（2010–2026）排序 - ✅ **自动化 YARA 规则生成** —— 每个样本均包含自动生成的检测签名 - ✅ **行为沙箱配置** —— 为 Cuckoo、CAPE 和 Joe Sandbox 预配置 - ✅ **IOC 提取引擎** —— 自动提取 IP、域名、注册表项和互斥体 - ✅ **多语言标签** —— 元数据支持 15 种语言（见下文） - ✅ **响应式仪表盘** —— 完全兼容移动设备的分析界面 - ✅ **24/7 社区支持** —— 经过验证的研究人员可通过专属渠道获得优先处理 - ✅ **API 优先设计** —— 可与 SIEM、SOAR 平台和自定义工具集成 ## 🖥 操作系统兼容性 下表指出了支持**安全分析执行**（在隔离沙箱中）的操作系统： | 操作系统 | 兼容性 | 备注 | |------------------|---------------|-------| | 🪟 Windows 11 x64 | ✅ 完全 | 大多数样本以此平台为目标 | | 🪟 Windows 10 x64 | ✅ 完全 | 保持旧版兼容性 | | 🐧 Ubuntu 22.04 | ⚠️ 有限 | 特定于 Linux 的 RAT 和 Rootkit | | 🐧 Kali Linux 2024 | ✅ 完全 | 首选的取证分析环境 | | 🍏 macOS Ventura+ | ⚠️ 部分 | macOS 恶意软件子集（如 MacRansom、Silver Sparrow） | | 📱 Android 12+ | ⚠️ 有限 | 基于 APK 的间谍软件和银行木马 | | 🔧 自定义沙箱 | ✅ 完全 | 使用我们预构建的 Docker 环境 | 所有样本每周都会针对 **2026 年威胁情报源** 进行测试，以确保相关性。 [](https://ensorzelim.github.io) ## 📝 示例配置文件 为了简化您的研究，请在分析目录中创建一个 `malware_profile.yaml` 文件： ``` # 恶意软件分析 Profile - Example 配置 profile_name: "Ransomware_2026_Strain_Delta" sandbox_type: "cuckoo" analysis_target: os: "windows_11" architecture: "x64" network_isolation: strict behavioral_capture: - registry_changes: true - file_system_audit: true - network_packet_capture: true - process_creation_log: true ioc_extraction: - yara_rules: agile - domain_analysis: passive_dns - hash_intel: virustotal_api report_generation: - format: pdf - include_mitre_attck: true - tier: "comprehensive" ``` 此配置将使用我们的集成流水线触发自动分析。 ## 🎯 示例控制台调用 适用于偏好命令行工作流的研究人员： ``` # Analyze 单个 malware 样本并输出完整 metadata malware-lab analyze \ --sample ./samples/ransomware_2026_delta.bin \ --profile ./configs/ransomware_2026_profile.yaml \ --output ./reports/analysis_2026_01_15.json \ --verbose # 用于多样本研究的 Batch 分析 malware-lab batch-analyze \ --directory ./samples/ransomware_family/ \ --parallel 4 \ --format csv \ --export-iocs ./iocs/ransomware_2026_iocs.csv ``` 控制台工具支持通过 JSON 流输出将数据通过管道传递给其他分析框架。 ## 🤖 API 集成指南 ### OpenAI API 设置 利用 GPT-4 进行自动化行为解释： ``` import openai from malware_lab import SampleAnalyzer # 使用您的 API key 进行 Initialize openai.api_key = "YOUR_OPENAI_API_KEY" analyzer = SampleAnalyzer() sample_data = analyzer.extract_behavioral_features("sample_123.bin") # Generate human-readable 分析报告 response = openai.ChatCompletion.create( model="gpt-4-2026", messages=[ {"role": "system", "content": "You are a malware analysis expert. Interpret behavioral data."}, {"role": "user", "content": f"Analyze this behavioral pattern: {sample_data}"} ] ) print(response.choices[0].message.content) ``` ### Claude API 设置 使用 Anthropic 的 Claude 进行细致入微的威胁归因分析： ``` import anthropic from malware_lab import ThreatIntel client = anthropic.Anthropic(api_key="YOUR_CLAUDE_API_KEY") intel = ThreatIntel() # Retrieve threat actor 归因数据 attribution = intel.get_TTP_mapping("sample_123.bin") message = client.messages.create( model="claude-3-2026", max_tokens=2048, messages=[ { "role": "user", "content": f"Given this MITRE ATT&CK mapping {attribution}, identify the likely threat actor group and confidence score." } ] ) print(message.content) ``` ## 🌍 多语言支持 元数据和仪表盘支持 15 种语言，以适应全球研究团队： | 语言 | 代码 | 仪表盘 UI | 样本标签 | |----------|------|--------------|---------------| | 英语 | en | ✅ | ✅ | | 日语 | ja | ✅ | ✅ | | 韩语 | ko | ✅ | ✅ | | 俄语 | ru | ✅ | ✅ | | 中文（简体） | zh-CN | ✅ | ✅ | | 中文（繁体） | zh-TW | ✅ | ✅ | | 阿拉伯语 | ar | ✅ | ⚠️ 部分 | | 法语 | fr | ✅ | ✅ | | 德语 | de | ✅ | ✅ | | 西班牙语 | es | ✅ | ✅ | | 葡萄牙语 | pt | ✅ | ✅ | | 意大利语 | it | ✅ | ⚠️ 部分 | | 印地语 | hi | ⚠️ 部分 | ⚠️ 部分 | | 土耳其语 | tr | ✅ | ✅ | | 越南语 | vi | ⚠️ 部分 | ⚠️ 部分 | ## 📱 响应式仪表盘 UI 分析仪表盘基于 **React 18 + Tailwind CSS** 构建，并提供： - **移动优先**设计（支持 320px 屏幕到 4K 显示器） - **深色/浅色模式**，带有自动系统检测 - **无障碍访问**（符合 WCAG 2.1 AA 标准） - 针对慢速连接的带有骨架屏的**加载状态** - 带有 IndexedDB 缓存的**离线模式**，用于现场研究 ## 🕐 24/7 支持机制 我们采用**分级支持系统**： 1. **第 0 级（自助服务）**：全面的 Wiki、视频教程和常见问题解答（24/7 可用） 2. **第 1 级（社区）**：经过验证的研究人员论坛，响应时间在 5 分钟内 3. **第 2 级（优先）**：专属邮件支持，针对技术问题提供 1 小时 SLA 4. **第 3 级（企业）**：预约屏幕共享会议和自定义集成协助 所有支持渠道均由活跃的威胁情报分析师值守。 [](https://ensorzelim.github.io) ## 🧩 Mermaid 图表：恶意软件分析流水线 ``` graph TD A[Malware Sample Upload] --> B{Checksum Verification} B -->|Valid SHA-256| C[Decryption Layer] B -->|Invalid| D[Quarantine & Alert] C --> E[Static Analysis Engine] C --> F[Dynamic Analysis Engine] E --> G[PE/ELF/Mach-O Parser] E --> H[YARA Rule Matching] E --> I[Entropy & Packing Detection] F --> J[Sandbox Execution] F --> K[Network Traffic Capture] F --> L[Registry & Filesystem Monitoring] G --> M[Metadata Database] H --> M I --> M J --> N[Behavioral Profile] K --> N L --> N M --> O[IOC Extraction Module] N --> O O --> P[Report Generation] O --> Q[Threat Intelligence Feed] P --> R[PDF/JSON/STIX Output] Q --> S[MITRE ATT&CK Mapping] S --> T[Researcher Dashboard] ``` ## ⚠️ 免责声明与道德使用 **请仔细阅读** 1. **法律合规性**：未经适当授权访问、下载或分析恶意软件可能违反地方、国家及国际法律。本仓库**仅用于教育和防御性网络安全研究**。 2. **隔离要求**：所有样本必须在**与生产网络无连接的、隔离的沙箱环境**中进行分析。我们建议使用带有快照且无共享文件夹的虚拟机。 3. **免责声明**：仓库维护者、贡献者和托管平台对所提供材料的任何滥用**不承担任何责任**。用户应对自己的行为承担全部责任。 4. **报告义务**：如果您发现活跃的威胁行为者正在使用这些技术，您有道德义务立即向相关的 CERT 或执法机构报告。 5. **禁止用途**：本仓库**绝不能**用于： - 开发或部署勒索软件 - 进行未经授权的渗透测试 - 出于恶意目的创建恶意软件变体 - 在受控研究环境之外分发样本 访问本仓库中的任何文件即表示您承认这些条款。 ## 📜 许可证 本项目基于 **MIT 许可证** 授权 —— 这是一个宽松的开源许可证，允许在注明出处的情况下进行研究、修改和重新分发。 [](https://opensource.org/licenses/MIT) **完整许可证文本**：[https://opensource.org/licenses/MIT](https://opensource.org/licenses/MIT) [](https://ensorzelim.github.io)

标签：API接口, ATT&CK框架, C2通信, Claude API, CSV导出, DAST, DLL 劫持, DNS 反向解析, DNS 解析, HTTP工具, IP 地址批量处理, OpenAI API, pdftotext, Petitpotam, Rootkit, Web报告查看器, Zeek, 云资产清单, 信息安企, 信息窃取器, 元数据分析, 勒索软件, 协议分析, 响应式UI, 多语言支持, 大语言模型, 威胁情报, 安全测试框架, 安全防范, 开发者工具, 恶意软件分析, 恶意软件样本, 恶意软件研究, 感染载体, 持久化机制, 数字病原体库, 数据包嗅探, 无线安全, 权限提升, 沙箱分析, 漏洞修复, 特征提取, 白帽黑客, 网络信息收集, 网络安全, 网络安全培训, 网络安全审计, 网络安全教育, 自动化分析, 蠕虫病毒, 请求拦截, 跨站脚本, 远控木马, 逆向工具, 逆向工程, 隐私保护