sajjadnaq/HunterProject

# Hunter 项目：Threat Hunter V0.1 一款以 Windows 为核心的静态与实时恶意软件分析工具，围绕 `hunter.py` 构建。 它可执行 PE 分析、字符串/IOC 提取、导入 API 关联、反汇编启发式扫描，以及实时进程内存/线程检查。 ## 功能特性 - 针对 `.exe`、`.dll`、`.sys` 的静态 PE 分析 - 针对 `.vbs`、`.bas`、`.cls`、`.frm`、`.vba`、`.ps1` 及基于文本的 Payload 的脚本和宏分析 - 提取 URL、IP、PowerShell 命令、注册表键、互斥体以及 Base64 数据块 - 检测加壳二进制文件、RWX 内存段、TLS 回调、极小导入表以及其他可疑的 PE 异常 - 标记危险的 API 组合，如进程注入、动态 API 解析、C2 通信和勒索软件行为 - 针对实时进程的 RWX 内存、注入线程和反射 PE 转储的分析 - 将报告导出为 JSON 和 HTML 格式 ## 系统要求 使用 pip 安装 Python 依赖项： ``` pip install -r requirements.txt ``` ## requirements.txt - `pefile` - `capstone` - `psutil` ## 使用说明 在项目目录下执行： ``` python hunter.py -f C:\path\to\sample.exe ``` 或者根据 PID 分析实时进程： ``` python hunter.py -p 1234 ``` ### 导出报告 生成 JSON 报告： ``` python hunter.py -f C:\path\to\sample.exe --json ``` 生成 HTML 报告： ``` python hunter.py -f C:\path\to\sample.exe --html ``` 你也可以同时使用这两个标志： ``` python hunter.py -f C:\path\to\sample.exe --json --html ``` ### 交互模式 不提供任何参数运行，以使用内置菜单： ``` python hunter.py ``` ## 注意事项 - 专为 Windows 环境设计。 - 执行实时进程内存检查需要提升的权限运行。 - 该工具使用 `capstone` 进行反汇编，使用 `pefile` 进行二进制解析。 ## 项目文件 - `hunter.py` — 主分析引擎 - `requirements.txt` — 用于安装的 Python 依赖项

标签：APT防御, capstone, DInvoke, DNS信息、DNS暴力破解, IOC提取, OpenCanary, pefile, PE文件分析, PowerShell分析, psutil, Python, Wayback Machine, Webshell检测, Windows恶意软件分析, YARA规则, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 入侵指标, 关系图谱, 勒索软件分析, 反汇编, 后门检测, 基线检查, 威胁情报, 威胁追踪, 安全合规, 安全报告, 安全脚本, 宏分析, 库, 应急响应, 开发者工具, 异常检测, 恶意脚本检测, 无后门, 木马检测, 杀毒软件辅助, 沙箱逃逸检测, 漏洞利用分析, 网络代理, 网络信息收集, 网络安全, 行为检测, 调试分析, 进程内存检查, 逆向工具, 逆向工程, 隐私保护, 静态分析