hackerpc921-commits/malware-analysis-framework

# 🛡️ 恶意软件与 Payload 分析框架    一款企业级的自动化静态分析框架，专为逆向工程和从 Windows 可执行文件 (EXE)、Android 应用程序 (APK) 及通用 payload 中提取威胁情报而设计。 该工具可作为一体化的 CLI 分析器，能够生成适合安全信息与事件管理 (SIEM) 集成和高管审查的结构化 JSON 和 HTML 报告。 ## ✨ 核心功能 ### 🔍 自动化格式检测 自动检测目标文件格式（MZ/PE、PK/APK 或原始二进制），并将其路由到相应的分析模块。 ### 🔬 多格式深度分析 * **Windows 可执行文件：** * 使用 `pefile` 解析 PE 头。 * 分析内存节区的高熵值（加壳代码）和 W^X 违规（可写且可执行内存）。 * 提取导入的 DLL、函数和导出的符号。 * **Android 应用程序：** * 使用 `androguard` 解析 AndroidManifest。 * 标记危险的权限（例如：SMS、相机、位置访问）。 * 提取 `classes.dex`，反编译 Dalvik 格式，并枚举 Java 类。 * **通用 Payload：** * 计算加密哈希值（MD5、SHA-1、SHA-256）。 * 计算 Shannon 熵以检测混淆或加密。 * 提取字符串，并与可疑的 Windows API 调用和 URL 进行模式匹配。 ### 🌍 威胁情报集成 * **VirusTotal API：** 自动在 70 多个全球防病毒引擎中查询文件的 SHA-256 哈希值，以判定其是否为恶意文件。 * **YARA 签名引擎：** 针对 payload 编译并运行自定义的 `.yar` 规则，以识别特定的恶意软件家族和代码模式。 ### 📑 专业报告 生成带有时间戳的分析报告： * **JSON 格式：** 非常适合自动化的 SIEM 接入。 * **HTML 格式：** 一个清晰易读的高管仪表板，便于直观审查。 ## 🚀 安装说明 1. 克隆仓库： git clone https://github.com/yourusername/malware-analysis-framework.git cd malware-analysis-framework 2. 安装所需的依赖项： pip install -r requirements.txt 3. 配置您的威胁情报 API： * 打开 `.env` 文件并添加您免费的 [VirusTotal API 密钥](https://www.virustotal.com/)。 ## 💻 使用说明 通过传递目标文件的路径来运行分析器。该框架将自动检测文件类型。 ``` python analyzer.py /path/to/suspicious_file.exe ``` 强制使用特定的分析模块： ``` python analyzer.py /path/to/payload.bin --type payload ``` 报告将自动生成并保存在 `/reports` 目录中。 ## ⚠️ 免责声明 本框架是出于教育和专业恶意软件分析目的而开发的。请勿在隔离的安全沙箱环境之外执行或处理活体的恶意软件。

标签：Android应用, APK分析, Ask搜索, DAST, DeepSeek, DNS 反向解析, EXE分析, IP 地址批量处理, PE文件分析, Python, SIEM集成, VirusTotal, Windows可执行文件, YARA, 云安全监控, 云资产可视化, 云资产清单, 后门检测, 哈希计算, 威胁情报, 安全分析框架, 开发者工具, 恶意软件分析, 搜索语句（dork）, 无后门, 木马分析, 混淆检测, 漏洞分析, 熵值分析, 网络信息收集, 网络威胁情报, 网络安全, 自动化分析, 跨站脚本, 路径探测, 载荷分析, 逆向工具, 逆向工程, 隐私保护, 静态分析