Ahmadd018/malware-analysis-tool
GitHub: Ahmadd018/malware-analysis-tool
这是一个基于Python的自动化静态恶意软件分析工具,通过哈希、PE分析、YARA扫描等特征快速评估文件风险并生成详细报告。
Stars: 0 | Forks: 0
# 自动化静态恶意软件分析系统 — 交付物
## 目录
```
deliverables/
├── 01_static_analysis_tool/ ← Working Python tool (CLI + Streamlit dashboard)
├── 02_sample_analysis_results/ ← Analysis results for 10 samples (HTML, PDF, JSON, CSV)
├── 03_yara_rules/ ← 5 YARA rule files (20 rules total)
└── 04_technical_report/ ← Technical Report (PDF + Markdown)
```
## 01 — 静态分析工具
完整的基于 Python 的静态分析工具。支持任何文件类型;对 PE(Windows)二进制文件进行深度分析。
**快速开始:**
```
cd 01_static_analysis_tool
# 安装依赖(一次性操作)
pip install -r requirements.txt
# 分析单个文件
python cli.py /path/to/suspicious.exe
# 分析目录中的所有文件,输出 HTML + PDF + JSON 报告
python cli.py /path/to/samples/ --formats html pdf json --output-dir my_reports
# 启动交互式 web 仪表板
streamlit run app.py
```
**每个文件生成的分析结果:**
- MD5、SHA1、SHA256、SHA512 哈希值
- 文件类型、大小、时间戳、权限
- PE 头信息、节区(每个节区的熵值)、导入的 API 和 DLL、异常情况
- ASCII + 宽字符字符串提取,包含 13 个指示类别
- 香农熵 + 滑动窗口分析 + 加壳器指纹识别
- 基于 `yara_rules/` 中所有规则的 YARA 扫描
- 风险评分 0-100,带有 LOW / MEDIUM / HIGH 分类
- HTML 报告、PDF 报告、JSON 输出
## 02 — 样本分析结果
使用上述工具分析的 **10 个样本** 的结果。
| 文件 | `Sample_Analysis_Results.html` | 每个样本独立的 `.html`, `.pdf`, `.json` 报告 |
|------|-------------------------------|--------------------------------------|
| 在浏览器中打开 `Sample_Analysis_Results.html`,可查看包含所有 10 个样本的评分、哈希值和关键发现的完整汇总表。每个样本还有其专属的 HTML、PDF 和 JSON 报告。 |
**已分析样本:**
| # | 文件 | 评分 | 级别 |
|---|------|-------|-------|
| 1 | mimikatz.exe | 100 | HIGH |
| 2 | winPEASx64.exe | 100 | HIGH |
| 3 | SharpHound.exe | 100 | HIGH |
| 4 | plink.exe | 100 | HIGH |
| 5 | wce64.exe | 100 | HIGH |
| 6 | whoami.exe | 92 | HIGH |
| 7 | nc.exe | 86 | HIGH |
| 8 | sbd.exe | 78 | HIGH |
| 9 | klogger.exe | 61 | MEDIUM |
| 10 | sample_con.exe | 56 | MEDIUM |
## 03 — YARA 规则
5 个规则文件,涵盖 5 个恶意软件行为类别的 20 条检测规则:
| 文件 | 规则数 | 检测对象 |
|------|-------|---------|
| `suspicious_strings.yar` | 5 | 勒索软件说明、键盘记录器、后门、规避技术、持久化 |
| `packed_indicators.yar` | 6 | UPX, MPRESS, 高熵节区、Shellcode 存根、加载器 |
| `network_indicators.yar` | 5 | C2 通信、DNS 隧道、投放器、横向移动、SMTP 渗透 |
| `ransomware_indicators.yar` | 4 | 文件枚举、卷影副本删除、加密 API、已知扩展名 |
| `injection_techniques.yar` | 5 | 经典注入、进程镂空、反射式 DLL、APC、Atom Bombing |
使用 YARA 手动运行:
```
yara -r 03_yara_rules/ suspicious_file.exe
```
## 04 — 技术报告
- `Technical_Report.pdf` — 完整格式的报告(12 个章节,封面,表格)
- `Technical_Report.md` — Markdown 源文件
涵盖内容:架构、所有分析模块、风险评分方法论、YARA 规则文档、所有 10 个样本的详细发现、局限性、未来工作、参考文献。
标签:AMSI绕过, DAST, DNS信息、DNS暴力破解, Kubernetes, PE分析, Python, Streamlit, YARA规则, 云安全监控, 代码示例, 加壳检测, 后端开发, 命令行界面, 哈希计算, 威胁检测, 恶意软件分析, 数据分析, 文件分析, 无后门, 熵计算, 网络安全, 访问控制, 逆向工具, 隐私保护, 静态分析, 风险评分