RyanDux03/Alien-Analyzer

# Alien Analyzer Alien Analyzer 是一款针对 Windows PE 文件的静态恶意软件分析工具，用于检测反调试和反虚拟机技术。 该工具对可执行代码段进行反汇编，并应用基于规则的检测方法，以识别恶意软件常用于规避分析的行为模式。 ## 功能特性 - 使用 `pefile` 解析 PE 文件 - 使用 Capstone 进行反汇编 - 检测反调试技术： - PEB BeingDebugged 检查 - INT3 指令的使用（包含填充过滤） - 与调试相关的 API 导入（例如 `IsDebuggerPresent`） - 检测反虚拟机技术： - CPUID 指令的使用 - 基于固件和网络的检查 - 基于导入表和指令的分析 - 针对编译器填充的噪声过滤 - 可疑度评分及最终判定结果 ## 使用方法 下载 `alien.exe` 并运行： ``` alien.exe sample.exe ``` ## 示例输出 ``` 0x1400019B0: mov rax, gs:[0x60] -> mov al, [rax+2] Rule: PEB BeingDebugged check Category: anti_debug Severity: 5 Reason: Likely debugger detection via PEB BeingDebugged flag. kernel32.dll!isdebuggerpresent Rule: IsDebuggerPresent Category: anti_debug Severity: 3 Reason: Checks for debugger presence. Overall Suspicion Score: 8 Verdict: Moderate suspicion ``` ## 环境要求 如果从源码运行： * Python 3.8 * pefile * capstone 安装依赖： ``` pip install -r requirements.txt ``` ## 安全提示 本工具仅执行静态分析，不会运行输入的文件。但这并不意味着您可以在非隔离环境中使用它来分析恶意软件。 ## 后续计划 * 扩充规则集 - 改进基于序列的匹配 - 增加代码补丁功能 ## 作者 Ryan Duxstad

标签：Capstone, DAST, pefile, PE分析, PE文件解析, Python, SOC 工具, 云安全监控, 云资产清单, 反 evasion, 反虚拟机检测, 反调试检测, 反逆向, 威胁情报, 安全得分, 开发者工具, 恶意软件分析, 无后门, 网络安全, 规则匹配, 逆向工具, 逆向工程, 隐私保护, 静态分析