sashabel1/Malware-Analysis-Sandbox

# 恶意软件分析沙箱 ## 概述 本项目是一个轻量级的自动化恶意软件沙箱，旨在安全地执行和分析可疑文件。它在隔离环境中监控系统变化，并提供详细的行为分析报告。 ## 工作原理 沙箱遵循一个 3 步的自动化流程： 1. **监控：** 后台进程跟踪文件系统更改、新进程和网络连接尝试。 2. **执行：** 在安全隔离的虚拟机 (VM) 中执行可疑样本。 3. **分析：** 自动化引擎解析日志，并根据识别出的恶意行为（例如，文件篡改、可疑的网络活动）对样本进行分类。 ## 关键组件 * **监控器 (`monitor.py`)：** 使用 `psutil` 跟踪系统活动，并记录带有时间戳的事件。 * **分析器 (`analyzer.py`)：** 自动生成人类可读的报告，并对威胁等级进行分类。 * **自动化脚本 (`run_sandbox.sh`)：** 编排整个会话流程，从环境清理到最终报告生成。 ## 网络隔离与安全 安全是首要考虑的因素。该环境与互联网完全隔离： * **硬件级别：** 虚拟机配置了“内部网络”网络适配器。 * **隔离证明：** 测试样本 (`malware_sample.py`) 包含网络连接测试。在分析日志中，连接状态始终返回 **"Failed"**，证明没有任何数据可以离开该环境。 ## 运行方法 1. 确保环境处于隔离状态（禁用外部网络适配器）。 2. 赋予运行脚本执行权限：`chmod +x run_sandbox.sh`。 3. 运行分析：`./run_sandbox.sh`。 4. 检查生成的 `malware_report_.txt` 以查看结果。 ## 📸 执行与安全证明 ### 1. 终端执行 展示了从 `run_sandbox.sh` 脚本运行的自动化工作流，包括监控器启动和恶意软件模拟。  ### 2. 自动化分析报告 由 `analyzer.py` 生成的最终报告，展示了行为分类和关键发现。  ### 3. 网络隔离设置 虚拟机设置中“内部网络”配置的证据，确保执行环境为“零互联网”状态，实现安全执行。 

标签：AMSI绕过, Bash, DAST, HTTP工具, IP 地址批量处理, psutil, Python, 威胁情报, 威胁检测, 安全防护, 应用安全, 开发者工具, 恶意样本分析, 恶意软件分析, 无后门, 无线安全, 沙箱, 生成式AI安全, 网络信息收集, 网络安全, 自动化报告, 自动化沙箱, 虚拟化隔离, 虚拟机, 逆向工具, 隐私保护