## 🔬 概述 **PE Obfuscation Detector** 是一个高保真静态分析引擎，旨在剥离二进制保护的层层伪装。该工具基于“稳扎稳打，确保无误”的理念开发，专注于对可移植可执行（PE）文件进行深层次的取证审计，以识别加壳、加密和反分析模式。 与单纯依赖脆弱签名的传统工具不同，该引擎采用了**多向量评分系统**，通过交叉验证熵方差、导入表取证和结构完整性检查中的证据来进行判定。 ## 🚀 核心取证向量

向量	描述	取证价值
熵方差	对离散节进行 Shannon 熵分析。	检测高密度加密 Payload 和加壳存根。
导入表取证	分析 IAT 模式和可疑的 API 组合。	识别动态解析循环和进程镂空存根。
结构完整性	验证 PE 头、EP 位置和节特征。	标记 RWX 节和非标准的 Entry Point 位置。
EP 签名	在 Entry Point 处基于正则表达式匹配已知的加壳存根。	为常见的保护器提供高置信度识别。
字符串交叉引用	导入的 API 与二进制字符串常量之间的关联分析。	检测用于误导基础静态扫描器的“伪造”导入。

## 📊 可视化智能 该引擎提供了**可视化取证图**，以便一眼解读二进制数据： - **交互式热力图**：可视化节级别的熵值，精准定位隐藏 Payload 的位置。 - **加权评分表**：通过透明的贡献细分，了解每个判定结果背后的*原因*。 - **D3.js 交互式报告**：用于深度分析的高端基于 Web 的取证技术。 ## 🛠️ 安装与使用 ### 最小化环境设置 旨在移动优先环境（如 Codespaces, Termux）和标准工作站上完美运行。 ``` # 克隆 Forensic Engine gh repo clone Adrian-Obungu/pe-obfuscation-detector cd pe-obfuscation-detector # 初始化 Environment pip install -r requirements.txt ``` ### 执行 ``` # Basic 分析 python -m pedetect.cli target_binary.exe # High-Fidelity Forensic Audit (Verbose + Heatmap) python -m pedetect.cli target_binary.exe -vv --heatmap ``` ## 🗺️ 增强路线图 - [ ] **Rich Header 取证**：MSVC 元数据审计，用于工具链识别。 - [ ] **IAT 红线分析**：检测被挂钩或重定向的导入地址表。 - [ ] **判定叙述引擎**：由 AI 驱动的检测证据自然语言解释。 - [ ] **D3.js 导出**：完整的交互式 HTML 取证报告。 ## ⚖️ 许可证与道德声明 基于 **MIT License** 分发。此工具专为安全研究人员、恶意软件分析师和学生而设计。请将其用于构建、学习和防御。 **由 [Adrian Obungu](https://github.com/Adrian-Obungu) 用 🧠 和 💻 构建**

标签：API行为分析, PE文件分析, PE结构完整性, Shannon熵, 二进制分析, 二进制取证, 云安全运维, 云资产清单, 加壳检测, 反分析, 可执行文件, 启发式分析, 多向量评分, 导入表分析, 数字取证, 混淆检测, 网络安全, 自动化脚本, 进程镂空检测, 逆向工具, 逆向工程, 隐私保护, 静态分析引擎, 静态扫描