srushtithaker04/python-malware-analyzer

GitHub: srushtithaker04/python-malware-analyzer

基于 Flask 构建的离线 Web 恶意软件静态分析工具,整合哈希查询、PE 解析、特征检测和本地 AI 行为评估于一体。

Stars: 1 | Forks: 0

# Python 恶意软件分析器 一个基于 Flask 构建的 Web 恶意软件分析工具,无需执行可疑文件即可对其进行四层分析。 所有分析均在完全离线状态下运行——不会有任何数据离开您的设备。 ## 目的 当可疑文件进入 SOC 环境时,分析人员需要在不运行它的情况下快速判断其是否为恶意文件。 该工具提供免费、离线、私密的多层分析——将静态取证、特征检测、IOC 提取和本地 AI 行为评估整合在一个 Web 界面中。 ## 分析层 ### 第 1 层 — 文件指纹识别 - MD5、SHA1、SHA256 哈希值计算 - 可与 VirusTotal 和 MalwareBazaar 进行交叉比对 ### 第 2 层 — PE 头部分析(EXE 文件) - 入口点和映像基址提取 - 基于各节区熵值的评分,用于加壳检测 - 导入表分析——标记可疑的 DLL - 高熵值检测,指示加壳/加密的恶意软件 ### 第 3 层 — 特征与关键字检测 包含 8 个恶意软件类别及 50 多种模式: - 代码执行: eval、exec、subprocess、os.system、shell=True - 网络通信: socket、urllib、requests、http - 持久化机制: registry、HKEY、winreg、schtasks - 规避技术: base64、xor、encode、marshal、obfuscat - 凭据访问: password、keylog、screenshot、clipboard - 进程注入: ctypes、VirtualAlloc、WriteProcessMemory - 文件操作: 可疑的文件系统操作 - 后门指标: backdoor、rat、c2、payload、trojan ### 第 4 层 — AI 行为分析 (Ollama) - 使用本地 Ollama llama3.2:1b 模型 - 提供 裁定: 安全 或 不安全 - 置信度 水平——高/中/低 - 行为 描述代码的具体操作 - 指标 —— 发现的特定可疑元素 - 建议 —— 应采取的应对措施 - 完全离线——不向外部发送任何数据 ## 工具与技术 - Python - Flask — Web 框架 - pefile — PE 头部解析 - hashlib — 加密哈希(内置) - re — 正则表达式模式匹配(内置) - math — 熵值计算(内置) - Ollama — 本地 AI 模型运行器 - llama3.2:1b — 本地语言模型 ## 设置 ### 前置条件 1. 已安装 Python 3.x 2. 安装依赖项: 3. 从 https://ollama.com/download 安装 Ollama 4. 下载 AI 模型: ### 运行应用程序 在浏览器中打开: ## 支持的文件类型 .exe .py .txt .js .vbs .ps1 .bat ## 示例结果 ### 恶意文件 (test2.txt — 模拟后门) - 风险等级: 危险 - 可疑命中: 6 - 类别: 代码执行, 后门指标 - 关键字: exec, subprocess, os.system, shell=True, backdoor, payload - AI 裁定: 不安全 — 中等置信度 - AI 分析: 代码模拟运行 whoami 和 netstat 以获取管理员权限并查看网络连接的恶意行为 ### 安全文件 (test3.txt — 简单的问候函数) - 风险等级: 低 - 可疑命中: 0 - 类别: 未检测到 - AI 裁定: 安全 ![Output Images](https://raw.githubusercontent.com/srushtithaker04/python-malware-analyzer/main/Output%20Images) ## 与真实安全工作的关联 真实的恶意软件分析人员完全遵循此工作流: 1. 针对威胁数据库进行哈希查询 2. 静态 PE 分析 3. 特征/AV 扫描 4. 提取 IOC 以进行网络阻断 5. 行为评估 该工具在一个 Web 界面中自动化了全部 5 个步骤——将 PE Studio、DIE、YARA 和 Cuckoo Sandbox 等商业工具的工作流整合为一个免费的单体离线平台。 ## 隐私与安全 - 零外部数据发送——所有操作均在本地运行 - Ollama AI 在您的机器上运行——无云依赖 - 上传的文件本地存储在 uploads/ 文件夹中 - 安全的文件名处理可防止路径遍历攻击 ## 免责声明 仅用于教育和安全研究目的。 请务必在隔离环境中分析可疑文件。 请勿对您未经授权分析的文件使用本工具。
标签:AI行为分析, AI风险缓解, DAST, DNS 反向解析, Flask, IOC提取, IP 地址批量处理, LLM评估, Ollama, PE文件分析, Python, SOC工具, 云安全监控, 人工智能, 关键字检测, 加壳检测, 后端开发, 哈希计算, 安全取证, 安全运营, 开发者评论分析, 恶意样本分析, 恶意软件分析, 扫描框架, 文件指纹, 无后门, 本地大模型, 本地离线分析, 沙箱替代, 漏洞发现, 用户模式Hook绕过, 签名检测, 网络安全, 逆向工具, 隐私保护, 静态分析