M2hmoud2del/MalScope-Analyzer

# 🛡️ MalScope – 自动化恶意软件分析与报告工具 MalScope 是一个模块化的恶意软件分析系统，结合了**静态分析**、**动态分析**以及可选的**AI 驱动的洞察**，用于扫描可疑文件并生成详细的安全报告。 # 🧠 项目构想 该系统会扫描一个包含不受信任文件的文件夹，并使用多个独立的分析模块对它们进行处理： - 静态分析 - 动态分析 - 风险评分引擎 - AI/LLM 解释 - PDF 报告生成 每个模块都是**完全独立的**，并通过一个中央编排器进行通信。 # 🏗️ 架构概述  ``` GUI → Orchestrator → Static Analysis → Dynamic Analysis → Scoring → AI → Reports ``` 每个模块都会生成一个**标准输出格式**，供下一层使用。 # 📦 项目结构 ``` MalScope/ │ ├── gui/ → User Interface (PyQt5) ├── core/ → Orchestrator (System Controller) │ ├── analysis/ │ ├── static/ → Static Analysis Modules │ ├── dynamic/ → Dynamic Analysis Modules │ └── scoring/ → Risk Scoring Engine │ ├── ai/ → LLM-based Analysis ├── utils/ → Helper functions (hashing, entropy, etc.) ├── reports/ → PDF Report Generator └── main.py → Entry point ``` # ⚙️ 系统工作原理 1. 用户通过 GUI 选择一个文件夹 2. 编排器处理每个文件 3. 文件被发送至： - 静态分析模块 - 动态分析模块 4. 分析结果被发送至： - 风险评分引擎 - AI 模块 5. 最终结果： - 显示在 GUI 中 - 导出为 PDF 报告 # 🧩 模块职责 ## 🎨 GUI (PyQt5) **输入/输出层** ### 输出： - 选定的文件夹路径 - 扫描进度 - 结果表格（文件、哈希值、判定结果、评分） ## 🧠 核心 / 编排器 **系统大脑** ### 输入： - 文件夹路径 ### 输出： ``` { "file": "sample.exe", "static": {...}, "dynamic": {...}, "score": 8, "verdict": "Malicious" } ``` ## 🔍 静态分析模块 ### 职责： * 文件哈希计算 (SHA256) * 字符串提取 * VirusTotal 查询 * PE 文件检查 ### 输出： ``` { "hash": "...", "urls": [], "ips": [], "vt_result": "5/70 malicious" } ``` ## ⚡ 动态分析模块 ### 职责： * 行为监控 * 沙箱执行 (如果可用) * 进程与网络跟踪 ### 输出： ``` { "processes": [], "network_activity": [], "registry_changes": [] } ``` ## 📊 评分引擎 ### 职责： * 结合静态与动态分析结果 * 生成风险评分 ### 输出： ``` { "score": 0-10, "verdict": "Clean | Suspicious | Malicious" } ``` ## 🤖 AI / LLM 模块 ### 职责： * 用人类语言解释分析结果 * 提供安全建议 ### 输出： ``` "This file shows ransomware-like behavior due to encryption patterns and suspicious API calls..." ``` ## 📄 报告模块 ### 职责： * 生成最终 PDF 报告 * 包含： * 文件分析结果 * 评分 * 指标 * 最终判定 ### 输出： * `report.pdf` # 👥 团队开发规范 ## ⚠️ 重要协作规则 为确保顺畅集成： ### 1. 每个模块必须独立 任何模块都不应直接依赖于另一个模块的内部逻辑。 ### 2. 标准输出格式 每个模块必须以类似 JSON 的结构返回结果。 ### 3. 每个模块需提供 README 每位开发者必须记录以下内容： * 模块功能 * 输入格式 * 输出格式 * 输出示例 ### 4. 杜绝“黑盒”代码 每位贡献者必须确保： * 函数清晰 * 输出明确 * 易于集成 ### 5. 编排器职责 仅允许编排器执行以下操作： * 调用模块 * 整合结果 * 决定最终判定结果 # 🔄 集成规则 当一个模块开发完成后，必须对其进行独立测试，并确保： ✔ 接受输入 ✔ 输出格式正确 ✔ 不依赖于 GUI 或其他模块 # 🚀 运行项目 ``` pip install -r requirements.txt python main.py ``` # 🎯 项目目标 * 构建真实的恶意软件分析 Pipeline * 模拟 SOC 级别的分析工作流 * 确保模块化的网络安全系统设计 * 提供易读的安全报告 # 📌 备注 * 本项目完全模块化 * 每个模块均可独立改进

标签：AI辅助分析, C2, DAST, DeepSeek, DLL 劫持, DNS 反向解析, GUI应用程序, IP 地址批量处理, Malscope, PDF报告生成, PyQt5, Python, VirusTotal API, 云安全监控, 可疑文件检测, 哈希计算, 大语言模型, 失陷标示, 威胁分类, 威胁情报, 安全扫描, 开发者工具, 恶意软件分析, 无后门, 时序注入, 模块化架构, 沙箱, 熵值分析, 网络信息收集, 网络安全, 自动化分析工具, 逆向工具, 隐私保护, 静态分析, 风险评估引擎