223Dylan/Malware-Analysis-Sandbox

# 恶意软件分析沙箱（学术演示） 本仓库是一个**以虚拟机为核心的恶意软件分析沙箱**，旨在用于单台 Windows 机器上的**学术/演示**。 ## 安全与道德规范 - **切勿**在宿主机操作系统上运行未知样本。 - 请使用带有**快照**功能的**隔离 Windows 虚拟机**。在每次运行**前后**都要恢复到干净的快照。 - 使用**仅主机**或其他隔离的虚拟网络（默认无直接互联网连接）。 - **不要**将恶意软件样本放入 git 中（参见 `.gitignore`）。 ## 项目未来规划 - **摄取**样本（跟踪哈希值 + 元数据） - 在隔离的 Windows 分析虚拟机中**执行**样本（限时执行） - **收集**工件（基本的进程/文件/网络证据） - 将发现的结果**报告**为 `JSON` 和简单的 `HTML` 摘要 ## 当前状态 - **VirtualBox 管线**：恢复快照 → 启动虚拟机 → 客机复制/运行 → **可选的客机文件夹打包 + 复制出** → 关机 → 恢复快照。 - **宿主机静态分类**：MD5/SHA-1/SHA-256、文件大小、大致格式（PE/ELF/ZIP）、前缀的 Shannon 熵、ASCII 字符串样本，以及 **PE 摘要**（当文件为 PE 时通过 `pefile` 获取）。 - **IOC**：从字符串池（文件前缀）中提取 IPv4、`http(s)` URL 以及类似域名的标记。 - **摄取审计**：仅追加的 `ingest/audit.jsonl`（已加入 gitignore）用于记录运行元数据。 - 虚拟机执行**默认关闭**（`vm.execution_enabled: false`）。请使用 **`python cli.py --vm sample.exe`** 或在 YAML 中启用执行功能。 ## 快速开始（开发者） 前置条件： - Windows 10/11 宿主机 - Oracle VirtualBox + 安装了 **Guest Additions** 的 Windows 分析虚拟机 - 一个**干净的快照**（参见 `docs/vm-setup.md`） 凭证（供 `VBoxManage guestcontrol` 使用的客机账户，**未提交至版本库**）： - `SANDBOX_VM_GUEST_USER` — 虚拟机中的 Windows 用户名 - `SANDBOX_VM_GUEST_PASSWORD` — 密码（或使用指向本地文件的 `SANDBOX_VM_GUEST_PASSWORD_FILE`） 设置： 1. 创建一个虚拟环境。 2. 安装依赖： ``` python -m pip install -r requirements.txt ``` 运行本地哈希 + 存根报告（不使用虚拟机）： ``` python cli.py path\to\sample.exe ``` 在虚拟机内部运行： ``` python cli.py --vm path\to\sample.exe ``` 每次运行的输出将写入 ``runs//artifacts/`` 目录下： - ``static_triage.json`` — 静态分析结果 - ``iocs.json`` — 提取的 IOC 列表 - ``guest_run.log`` — 虚拟机管线日志（使用虚拟机模式时） - ``sandbox_guest_bundle.zip`` — 客机运行文件夹的 zip 压缩包（当虚拟机获取成功时） 本地审计日志（未提交）：``ingest/audit.jsonl`` ## 文档 - `docs/threat-model.md` - `docs/vm-setup.md` - `config/config.example.yaml`

标签：Conpot, DAST, Homebrew安装, IOC提取, PE文件分析, Python, VirtualBox, Windows安全, 云安全监控, 哈希计算, 多模态安全, 威胁情报, 学术演示, 开发者工具, 恶意软件分析, 无后门, 沙箱, 生成式AI安全, 网络安全审计, 自动化沙箱, 虚拟机, 逆向工具, 静态分析