MohHammad345/Malware_analysis_lab

# 🔬 恶意软件分析工具包 v2.0 一个综合性的恶意软件分析环境，包含自动化静态分析工具、YARA 规则、MITRE ATT&CK 映射以及交互式 HTML 仪表板报告。 ## 📋 概述 本项目提供了一个完整的静态恶意软件分析工具包： - **统一 CLI** — 使用单个命令运行完整的分析流水线 - **PE 分析** — 解析头部、节区、导入表、导出表并进行异常检测 - **高级哈希** — MD5、SHA1、SHA256、Imphash（家族检测）、SSDeep（模糊相似度） - **字符串提取** — 带有香农熵评分的 ASCII/Unicode 字符串提取 - **IoC 提取** — 基于正则表达式提取 IP、URL、域名、电子邮件、文件路径、注册表键值 - **YARA 扫描器** — 使用自定义检测规则扫描样本 - **MITRE ATT&CK 映射** — 自动将可疑导入和行为映射到 ATT&CK 技术 - **熵可视化** — 带有阈值指示器的基于 SVG 的节区熵图表 - **交互式仪表板** — 包含风险评分、图表和导航的独立 HTML 报告 ## 🏗️ 项目结构 ``` malware-analysis-lab/ ├── README.md ├── requirements.txt ├── setup.py # Installable via pip ├── toolkit/ │ ├── __init__.py │ ├── cli.py # Unified CLI entry point │ ├── pe_analyzer.py # PE parsing + imphash + ssdeep │ ├── string_extractor.py # String extraction with entropy │ ├── ioc_extractor.py # IoC extraction (IPs, URLs, etc.) │ ├── hash_checker.py # VirusTotal hash lookup │ ├── yara_scanner.py # YARA rule scanning │ ├── mitre_mapper.py # Auto MITRE ATT&CK mapping │ ├── entropy_visualizer.py # SVG entropy chart generation │ ├── dashboard_report.py # Interactive HTML report │ └── report_generator.py # Markdown report generation ├── yara-rules/ │ ├── suspicious_strings.yar │ ├── packer_detection.yar │ ├── persistence_mechanisms.yar │ └── rust_malware.yar # Custom rule from hands-on analysis ├── lab-setup/ │ └── LAB_SETUP_GUIDE.md ├── reports/ │ ├── REPORT_TEMPLATE.md │ └── sample_01_analysis.md └── samples/ └── .gitkeep ``` ## ⚡ 快速入门 ``` # 克隆并安装 git clone https://github.com/TauqeerKhan187/Malware_analysis_lab.git cd Malware_analysis_lab pip install -r requirements.txt # 运行完整分析 pipeline（生成交互式 HTML dashboard） python -m toolkit.cli analyze /path/to/sample.exe --yara-rules yara-rules/ --output reports/ # 或使用独立工具 python -m toolkit.cli hash /path/to/sample.exe python -m toolkit.cli ioc /path/to/sample.exe python -m toolkit.cli strings /path/to/sample.exe --high-entropy-only python -m toolkit.cli scan /path/to/sample.exe --yara-rules yara-rules/ ``` ## 🧰 工具包功能 | 工具 | 用途 | |------|---------| | `cli.py` | 统一 CLI — 运行带有进度指示器的完整流水线 | | `pe_analyzer.py` | PE 头部、节区、导入/导出表、imphash、ssdeep | | `string_extractor.py` | 带有熵评分的 ASCII/Unicode 字符串提取 | | `ioc_extractor.py` | 提取 IP、URL、域名、电子邮件、注册表键值、文件路径 | | `hash_checker.py` | VirusTotal API v3 哈希查询 | | `yara_scanner.py` | 根据自定义 YARA 规则集扫描文件 | | `mitre_mapper.py` | 自动将导入/行为映射到 MITRE ATT&CK 技术 | | `entropy_visualizer.py` | 生成 SVG 节区熵可视化图表 | | `dashboard_report.py` | 带有风险评分的交互式 HTML 仪表板 | | `report_generator.py` | 结构化的 Markdown 分析报告 | ## 🎯 MITRE ATT&CK 自动映射 该工具包会自动将可疑的导入和行为映射到 ATT&CK 技术： ``` Suspicious Import Found → ATT&CK Mapping ───────────────────────────────────────────────────── VirtualAllocEx → T1055 Process Injection IsDebuggerPresent → T1622 Debugger Evasion QueryPerformanceCounter → T1497.003 Time-Based Evasion RegSetValueEx → T1547.001 Registry Run Keys URLDownloadToFile → T1105 Ingress Tool Transfer CryptEncrypt → T1486 Data Encrypted for Impact ``` ## 📊 样本分析：基于 Rust 的加壳恶意软件 在隔离的 REMnux 虚拟机中分析了来自 MalwareBazaar 的真实恶意软件样本： **主要发现：** - Rust 编译的二进制文件，在 `.rdata` 节区中包含 8MB 的加密 payload（熵值：7.59） - 通过 `QueryPerformanceCounter`、`GetTickCount`、`Sleep` 进行反调试 - 通过 `OpenProcess` + `VirtualProtect` 进行进程操作 - 存在 Base64 解码字母表 — 运行时 payload 解密 - 支持 Punycode，表明存在 C2 域名解析 - 编写了自定义 YARA 规则以检测此恶意软件家族 有关完整的分析报告，请参阅 [`reports/`](reports/)。 ## 🛡️ 实验室环境 有关使用 VirtualBox + REMnux 构建隔离分析沙箱的说明，请参阅 [`lab-setup/LAB_SETUP_GUIDE.md`](lab-setup/LAB_SETUP_GUIDE.md)。 ### 推荐的主机配置 | 组件 | 最低要求 | 推荐配置 | |-----------|---------|-------------| | CPU | 4 核 | 8+ 核 | | RAM | 12 GB | 16+ GB | | 存储 | 100 GB 可用空间 | 150+ GB 可用空间 | ## ⚠️ 免责声明 本项目**仅供教育和授权安全研究目的使用**。切勿在隔离环境之外分析恶意软件。切勿将专有或敏感样本上传至公共服务。请始终遵守您所在组织的政策和适用的法律法规。 ## 📄 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)

标签：DAST, DNS信息、DNS暴力破解, DNS 反向解析, HTML报告, IoC提取, MITRE ATT&CK映射, Mr. Robot, PE文件分析, Python安全工具, SecOps, YARA规则, 主机安全, 云安全架构, 云安全监控, 可视化仪表板, 哈希校验, 多模态安全, 威胁情报, 字符串提取, 安全运营, 库, 应急响应, 开发者工具, 恶意软件分析, 扫描框架, 数字取证, 数据包嗅探, 无线安全, 熵分析, 网络信息收集, 网络安全, 自动化分析, 自动化脚本, 跨站脚本, 逆向工具, 隐私保护, 静态分析