nitzanohana10126-oss/Soc-Malware-Analyzer
GitHub: nitzanohana10126-oss/Soc-Malware-Analyzer
一款面向 SOC 分析师的本地静态恶意软件分析工具,支持 PE、PDF、Office、脚本和邮件等多种文件格式,在不上传文件的前提下提取 IOC 并生成分析报告。
Stars: 0 | Forks: 0
# SOC 恶意软件分析器
一款供 SOC 分析师使用的 Windows 桌面工具,可对可疑文件执行**静态**分析。
文件**绝对不会上传**至任何外部服务。可选的 VirusTotal 查询仅发送 SHA-256 哈希值,绝不发送文件内容。
## 支持的文件类型
| 类型 | 扩展名 | 提取内容 |
|---|---|---|
| Windows PE | `.exe`, `.dll`, `.sys`, `.scr` | 哈希值、导入哈希、文件头、节、熵、导入/导出表、可疑 API、加壳检测、版本信息、Authenticode 签名状态 |
| PDF | `.pdf` | 元数据、页数、可疑关键字(`/JS`, `/OpenAction`, `/Launch`, `/EmbeddedFile`, …)、内嵌 JavaScript、全文、IOC |
| Office | `.xlsx`, `.xlsm`, `.docx`, `.docm`, `.xls`, `.doc`, `.pptx` | OOXML 结构、VBA 宏 + 分析、自动执行触发器、DDE 模式、内嵌对象、外部链接、已定义名称、工作表内容 |
| 脚本 | `.ps1`, `.psm1`, `.py`, `.pyw` | 可疑 API、混淆模式、熵、自动 base64 解码(包括 PowerShell `-EncodedCommand` 的 UTF-16-LE) |
| 电子邮件 | `.eml`, `.msg` | 完整文件头、From/Reply-To/Return-Path 不匹配、SPF/DKIM/DMARC 解析、不匹配的超链接(钓鱼)、危险/双重扩展名附件及其哈希值、完整的 Received 链 |
对于每种文件类型,分析器还会提取:**URL、IP、域名、电子邮件、注册表键、文件路径、BTC 地址、CVE 引用以及内嵌的哈希值。**
## 快速入门
双击 **`install_and_run.bat`** —— 它会创建虚拟环境、安装依赖并启动 GUI。
或者手动执行:
```
python -m venv .venv
.venv\Scripts\Activate.ps1
pip install -r malware_analyzer\requirements.txt
python run.py
```
然后**将文件拖拽到窗口中**(或使用 *File → Open*)。
## VirusTotal(可选)
打开 **Tools → Settings**,粘贴你的 VirusTotal API 密钥,并勾选 *Enable VirusTotal lookups*。仅会查询 SHA-256 哈希值。
## 导出
完成分析后,点击右上角的 **Export PDF**(或使用 *File → Export PDF Report…*)。将会生成一份排版精美、按章节划分的 PDF 报告。同时也支持导出 JSON。
## 架构
```
malware_analyzer/
__main__.py -> python -m malware_analyzer
analyzers/ -> one module per file type (static)
pe_analyzer.py
pdf_analyzer.py
office_analyzer.py
script_analyzer.py
eml_analyzer.py
core/
analyzer.py -> orchestrator + risk scoring
file_identifier.py -> magic-byte detection
hash_calculator.py
ioc_extractor.py
string_extractor.py
vt_client.py -> hash-only VirusTotal client
gui/
main_window.py -> PyQt6 main window
analysis_view.py -> tabbed result view
styles.py -> dark theme
reports/
pdf_generator.py -> ReportLab PDF builder
```
## 隐私
* GUI 完全在本地运行。
* 文件仅被读取——绝不执行,绝不上传。
* 可选的 VirusTotal 查询仅发送 SHA-256 哈希值。
* 无遥测,无分析。
标签:Ask搜索, Base64解码, CVE提取, DAST, DDE检测, DeepSeek, DNS信息、DNS暴力破解, DNS 反向解析, DNS 解析, Go语言工具, GUI应用, IoC提取, meg, Office宏分析, OpenCanary, PDF分析, PE文件分析, Python, SOC工具, VBA分析, VirusTotal, Windows桌面应用, YARA规则, 云安全监控, 代码混淆, 信息安全, 加壳检测, 可执行文件分析, 哈希计算, 威胁情报, 安全分析工具, 安全运营中心, 导入导出表, 库, 应急响应, 开发者工具, 恶意软件分析, 搜索语句(dork), 数字取证, 数字签名验证, 文件分析, 无后门, 本地分析, 漏洞发现, 熵值分析, 电子邮件头分析, 离线分析, 网络安全, 网络映射, 脚本分析, 自动化脚本, 逆向工具, 邮件安全, 钓鱼邮件检测, 隐私保护, 静态分析