nijat-akhundzada/malcore
GitHub: nijat-akhundzada/malcore
MALCORE 是一个开源的模块化恶意软件分析沙箱,结合 Go 后端与 Python 分析引擎,提供静态分析、YARA 扫描、IOC 提取和风险评分功能。
Stars: 0 | Forks: 0
# MALCORE
**MALCORE** 是一个开源的恶意软件分析沙箱,用于分析可疑文件和 URL。
该项目被设计为一个模块化的安全分析系统,结合了基于 Go 的后端和基于 Python 的分析引擎。它专注于安全的文件处理、静态分析、IOC 提取、YARA 扫描和透明的风险评分。
## 目标
MALCORE 旨在为以下对象提供一个实用且具有教育意义的恶意软件分析平台:
- 安全研究人员
- 学习安全系统的后端工程师
- 学生
- SOC/实验室环境
- 开源贡献者
该项目不仅仅是一个文件扫描器。它被设计为一个真正的分析管道,包含作业处理、隔离存储、分析器模块、评分和报告功能。
## 主要特性
- 上传可疑文件进行分析
- 提交 URL 并安全下载文件
- 将文件存储在隔离存储中
- 生成诸如 MD5 和 SHA256 的文件哈希
- 检测 MIME 类型和扩展名不匹配
- 对支持的文件类型运行静态分析
- 提取 IOC,如 URL、域名和 IP 地址
- 运行 YARA 规则扫描
- 计算基于规则的风险评分
- 生成结构化的 JSON 报告
- 为未来支持沙箱和动态分析而设计
## 支持的文件类型
初始支持的文件类别:
| 类别 | 扩展名 |
|---|---|
| Windows 二进制文件 | `.exe`, `.dll` |
| 脚本 | `.ps1`, `.js`, `.vbs`, `.bat`, `.cmd` |
| Office 文档 | `.docx`, `.xls`, `.ppt` |
| 压缩包 | `.zip`, `.rar`, `.7z` |
| 未来的可选类型 | `.pdf`, `.py`, `.apk`, `.jar`, `.elf`, `.bin` |
第一个稳定版本将侧重于静态分析,然后再添加完整的动态沙箱执行功能。
## 架构概述
MALCORE 采用混合架构:
```
Frontend
|
v
Go API Service
|
v
PostgreSQL + Redis + MinIO
|
v
Go Worker Service
|
v
Python Analyzer Engine
|
v
Reports + Risk Scoring
```
### 为什么选择 Go?
使用 Go 是为了:
* API 开发
* 文件上传处理
* URL 下载
* 作业编排
* Worker 服务
* 可靠的后端基础设施
### 为什么选择 Python?
使用 Python 进行恶意软件分析,是因为其生态系统在以下方面非常强大:
* PE 文件分析
* YARA 集成
* Office 宏分析
* 压缩包检查
* IOC 提取
* 评分实验
## 当前限制
MALCORE 正在逐步构建中。
当前计划的限制:
* 第一个版本中没有完整的基于虚拟机的动态沙箱
* 没有隔离环境则无法执行真实的恶意软件
* 静态分析优先
* 动态行为监控将在稍后添加
* 外部威胁情报集成是可选的,且侧重于未来规划
本项目优先考虑安全性、透明度和模块化设计。
## 计划中的分析管道
```
File Upload or URL Submission
|
v
Input Validation
|
v
Quarantine Storage
|
v
Hashing + MIME Detection
|
v
Job Queue
|
v
Static Analysis
|
v
YARA + IOC Extraction
|
v
Risk Scoring
|
v
JSON / PDF Report
```
## 技术栈
| 层级 | 技术 |
| ---------------- | -------------- |
| 后端 API | Go |
| 路由器 | Chi |
| 数据库 | PostgreSQL |
| 队列 | Redis + Asynq |
| 存储 | MinIO |
| 分析引擎 | Python |
| 前端 | Next.js |
| 容器化 | Docker Compose |
| 规则 | YARA |
## 快速入门
计划的本地设置:
```
git clone https://github.com/nijat-akhundzada/malcore.git
cd malcore
docker compose up --build
```
## 仓库状态
MALCORE 目前正处于活跃开发阶段。
首个开发里程碑如下:
1. 确定项目范围和架构
2. 构建 Go API 骨架
3. 添加文件上传和隔离存储功能
4. 添加作业队列和 Worker 服务
5. 添加 Python 分析引擎
6. 添加 YARA 和 IOC 提取功能
7. 添加评分和报告功能
8. 添加前端仪表板
## 安全声明
MALCORE 仅用于教育和防御性安全研究目的。
请勿在不安全的机器上上传或执行真实的恶意软件。动态执行只能在适当隔离的环境中进行。
## 许可证
许可证将很快添加。
## 作者
由 **Nijat Akhundzadeh** 构建,作为一个个人的开源网络安全工程项目。
标签:API服务, DAST, DNS 反向解析, DNS 解析, Go语言, IOC提取, IP 地址批量处理, JSON报告, MD5, MIME检测, MinIO, PE文件分析, PostgreSQL, Python, Redis, SHA256, SOC工具, URL分析, YARA规则扫描, 云安全监控, 办公文档分析, 后端开发, 威胁情报, 安全分析平台, 安全分析管道, 安全实验室, 安全教育, 安全研究人员工具, 开发者工具, 异步任务处理, 恶意文件检测, 恶意软件分析, 搜索引擎查询, 搜索语句(dork), 文件哈希, 文件安全检测, 无后门, 日志审计, 沙盒逃逸防护, 沙箱, 测试用例, 漏洞发现, 版权保护, 程序破解, 网络信息收集, 网络安全, 脚本分析, 逆向工具, 隐私保护, 静态分析, 风险评分