abdelkadirr112/mamzo-suite-for-static-malware-analysis

# PE-ML-Scanner v2 — 专业 PE 静态恶意软件分析工具 具有机器学习分类、YARA 生成、字符串智能、哈希声誉查找、批量扫描、扫描历史和 专业 DOCX 报告导出的 Tier-1 专业 Windows PE 静态分析器。 ## 功能 ### 核心功能 - **PE 特征提取** — 头部、节、导入、导出、资源、TLS、覆盖、熵 - **EMBER 兼容的特征向量**（2381 风格的数字向量 — 见 `core/ember_features.py`） - **机器学习分类** — XGBoost + RandomForest 堆叠（恶意软件/良性 + 置信度） - **启发式引擎** — 可疑导入、高熵节、异常 - **Authenticode 签名验证**（通过 `signify`） - **打包/保护检测** — 熵 + 签名启发式（UPX、ASPack、Themida、VMProtect、MPRESS、PECompact、Enigma） - **字符串智能** — 提取 ASCII + UTF-16，分类 URL、IP、域名、注册表键、 文件路径、电子邮件、可疑命令、加密常量、比特币地址 - **哈希声誉查找** — VirusTotal + MalwareBazaar（可选 API 密钥） - **YARA 规则生成器** — 手动 + 从分析结果自动生成 - **批量扫描** — 文件夹模式，每个文件有结果 - **SQLite 扫描历史** — 每次扫描都存储、可浏览、可重新打开 - **专业 DOCX 报告导出** — 完整的执行级报告 ### 图形用户界面（PyQt6） - 包含判决仪表盘、分数、关键指标的仪表板 - 选项卡：概述 · 功能 · 字符串 · 导入/节 · YARA · 声誉 · 历史 - 一键 **导出专业报告 (.docx**) - 暗色主题 ## 安装 ``` unzip pe_ml_scanner_v2.zip cd pemlscan pip install -r requirements.txt python main.py ``` ## 可选 API 密钥 设置为环境变量（或留空 — 这些检查将优雅地跳过）： ``` export VT_API_KEY="your_virustotal_key" export MB_AUTH_KEY="your_malwarebazaar_key" # optional ``` ## 命令行界面模式 ``` python main.py --cli --file sample.exe --report out.docx python main.py --cli --folder ./samples --report-dir ./reports ``` ## 在真实数据上训练 ML 模型 捆绑的模型在合成数据上启动，因此应用程序可以立即使用。 为了现实世界的准确性，请在 EMBER 2018 上重新训练： ``` python -m core.train_real --ember-dir /path/to/ember2018 --out data/model.joblib ``` 见 `core/train_real.py` 以获取训练入口点。 ## 扩展 - 将 YARA 打包添加到 `yara_engine/rules/` - 在 `core/feature_extractor.py` 中添加新的特征提取器 - 在 `core/string_analyzer.py` 中添加新的字符串分类器 - 在 `reports/docx_report.py` 中添加报告部分 ## 免责声明 仅限防御性研究和教育用途。仅分析您有权检查的文件。

标签：Apex, Authenticode, DAST, DNS信息、DNS暴力破解, PE文件分析, PyQt6, RandomForest, XGBoost, YARA规则, 专业报告, 云安全监控, 人工智能, 历史记录, 哈希值查询, 图形用户界面, 威胁情报, 字符串智能分析, 开发者工具, 异常检测, 恶意软件分析, 恶意软件数据库, 打包器检测, 暗色主题, 机器学习, 深度学习, 熵分析, 用户模式Hook绕过, 病毒总汇, 逆向工具, 静态分析