Sarah-Omar/Malware_Analsis_Tool

恶意软件分析工具（基于 GUI） 一款使用 Python 开发的自动化恶意软件分析工具。本项目提供了一个综合环境，用于对可疑文件执行**静态**和**动态**分析，集成了行业标准的 security 工具和 threat intelligence API，以生成详细的 PDF 报告。 🚀 核心功能 * **现代化 GUI 界面：** 使用 `CustomTkinter` 开发，提供专业的暗色主题用户体验。 * **多引擎分析：** 无缝集成多种 security 工具，全面展现文件行为。 * **自动化 PDF 报告：** 使用 `ReportLab` 生成结构化报告，包括文件 entropy、metadata 和最终判定结果。 * **Threat Intelligence 集成：** 自动化 API 查询，将样本与全球数据库进行交叉比对。 🛠 技术栈与集成工具 该工具利用多个专用引擎以确保准确性： * **静态分析 (DIE)：** 集成了 `Detect It Easy`，用于识别文件架构 (PE32)、编译器 (Visual C++) 和链接器详细信息。 * **混淆字符串解析器 (FLOSS)：** 用于提取可疑的嵌入字符串、URL 和潜在的失陷指标。 * **Threat Intelligence (VirusTotal API)：** 将文件哈希值与 70 多个杀毒引擎进行交叉比对，计算出实时的 **风险评分**。 * **行为分析 (ANY.RUN)：** 获取 sandbox 分析数据，以确定 runtime 威胁级别和恶意活动。 * **二进制检查：** 基于 `pefile` 和 `yara-python` 构建，用于深入检查 Portable Executable 文件。 ## 📊 样本分析结果（2026 年 5 月 10 日） 以下是对 **《实用恶意软件分析》实验 (第 9 章)** 的分析总结： | 文件名 | 判定结果 | 风险评分 | 分析亮点 | | --- | --- | --- | --- | | **Lab09-01.exe** | **恶意** | **80/100** | 被识别为 Downloader；被 57 个引擎标记。 | | **Lab09-02.exe** | **恶意** | **70/100** | 包含可疑的外部 URL 和 `ocl.exe` 字符串。 | | **Lab09-03.exe** | **恶意** | **70/100** | 因可疑的 JavaScript 执行而产生行为标记。 | | **DLL1.dll** | **可疑** | **60/100** | 在 VirusTotal 上有多次检测；Win32 DLL 架构。 | | **DLL2.dll** | **可疑** | **60/100** | 社区声誉低，且具有可疑的导入模式。 | | **DLL3.dll** | **可疑** | **60/100** | 包含反调试标签 (`detect-debug-environment`)。 | 📁 项目结构 * `main.py`：GUI 应用程序的入口点。 * `analyzer.py`：文件处理和静态分析的核心逻辑。 * `anyrun_scanner.py`：用于获取动态行为数据的模块。 * `report_generator.py`：使用 ReportLab 的 PDF 生成引擎。 * `config.py`：处理 API 密钥和全局配置。 📝 最终判定总结 * **扫描文件总数：** 6 * **恶意：** 3 * **可疑：** 3 * **安全：** 0 *作为恶意软件分析的期末项目开发 - 提交于 2026 年 5 月 10 日。*

标签：ANY.RUN, CustomTkinter, DAST, Detect It Easy, DNS 反向解析, FLOSS, IoC提取, IP 地址批量处理, PDF报告生成, pefile, PE文件解析, Python GUI, ReportLab, VirusTotal API, yara-python, 二进制分析, 云安全监控, 云安全运维, 分页抓取, 失陷标示, 威胁情报, 开发者工具, 恶意样本分析, 恶意软件分析, 搜索语句（dork）, 沙箱分析, 网络信息收集, 网络安全, 自动化分析工具, 逆向工具, 隐私保护, 静态分析