youssifsameh1000/MalwareFlow
GitHub: youssifsameh1000/MalwareFlow
MalwareFlow 是一个自动化恶意软件分析管道,通过静态分析、外部情报集成和 AI 推理生成全面报告,以提升分析效率和深度。
Stars: 0 | Forks: 0
# 恶意软件流程
MalwareFlow 是一个模块化、高性能的自动化静态与动态恶意软件分析流程。它能够并发编排多种分析工具,并利用大型语言模型(LLMs)对提取的特征进行推理,自动生成全面的报告。
通过最新更新,MalwareFlow 现在拥有了一个使用 React 构建的**现代化异步 Web 仪表板**,具备动态暗黑模式、实时文件队列跟踪以及结构化的威胁报告功能。
## 架构
该项目基于**客户端-服务器架构**构建:
1. **前端(Web UI)**:一个使用 React 和 Vite 构建的单页应用。它提供了一个支持暗黑模式的简洁界面,用于上传文件、监控异步队列和查看历史报告。
2. **后端(FastAPI)**:提供一个管理异步分析队列的 REST API。
3. **流程引擎**:一个使用 **层** 抽象的高并发 Python 后端。智能的 `PipelineEngine` 处理层依赖关系,并同时执行独立的分析模块(使用 `ThreadPoolExecutor`),使该流程在 I/O 密集型操作中速度极快。
当前内置的分析层包括:
- **特征提取**:静态分析(哈希、MIME 类型、PE 结构、IAT 解析、香农熵)。
- **FLOSS / 字符串**:混淆字符串提取。
- **VirusTotal**:基于云端的信誉检查和威胁情报。
- **CAPA**:恶意能力识别(Mandiant)。
- **LLM 推理**:使用如 Groq、OpenAI 或 OpenRouter 等模型评估所有聚合数据,以推断意图并总结发现。
## 前置条件
1. **Python 3.8+**
2. **Node.js (v16+)** 及 **npm**(用于 Web UI)
3. **系统依赖**:
- `libmagic`(文件类型检测必需)
- Ubuntu/Debian:`sudo apt-get install libmagic1`
- macOS:`brew install libmagic`
4. **CAPA 二进制文件**:
- CAPA 层需要一个下载到项目根目录的独立二进制文件。
- [下载 CAPA 发布版本](https://github.com/mandiant/capa/releases)
## 安装
1. **克隆仓库:**
```
git clone
cd malwareflow
```
2. **后端设置:**
```
python -m venv venv
source venv/bin/activate # Windows 系统请使用: venv\Scripts\activate
pip install -r requirements.txt
```
3. **前端设置:**
```
cd web-ui
npm install
cd ..
```
4. **环境变量:**
在根目录下创建一个 `.env` 文件并添加您的 API 密钥:
```
VT_API_KEY="your_virustotal_key"
OPENROUTER_API_KEY="your_openrouter_key"
# GROQ_API_KEY="your_groq_key"
LLM_MODEL="your_preferred_model_slug"
CAPA_PATH="./capa"
```
## 运行 Web 仪表板
使用 MalwareFlow 最简单的方式是通过新的 Web UI。
1. **启动 FastAPI 后端:**
打开一个终端并运行:
```
./run-backend.sh
```
2. **启动 React 前端:**
打开第二个终端并运行:
```
./run-frontend.sh
```
3. **打开浏览器** 并导航到 `http://localhost:5173`。您可以上传文件、从侧边栏切换暗黑模式,并查看详细的分析报告。
## 命令行用法
MalwareFlow 仍然提供一个强大的 CLI,用于无头或自动化执行。
分析单个文件:
```
python -m malwareflow.cli samples/sample_malware.exe
```
分析整个目录:
```
python -m malwareflow.cli samples/
```
通过帮助命令查看所有可配置选项:
```
python -m malwareflow.cli --help
```
## 测试
要运行自动化集成测试:
```
pytest tests/
```
标签:AI驱动分析, AMSI绕过, Ask搜索, AV绕过, C2, CAPA, DAST, DLL 劫持, FastAPI, PDF报告, Python, React, Syscalls, VirusTotal, Web仪表板, 云安全监控, 大语言模型, 威胁情报, 威胁检测, 字符串提取, 开发者工具, 恶意软件分析, 无后门, 模块化设计, 特征提取, 网络安全, 能力映射, 自动化修复, 自动化报告, 逆向工具, 隐私保护, 静态分析