yihengjiang888-creator/malware-analysis-agent

# Malware Analysis AI Agent 基于 DeepSeek API 的自主推理恶意代码分析 Agent，使用 ReAct 范式自动调用分析工具并生成威胁报告。 ## 架构 用户输入样本路径 │ ▼ ┌─────────────────────────────┐ │ Agent 推理循环 (ReAct) │ │ │ │ Thought → Action → Observe │ │ ▲ │ │ │ └───────────────────┘ │ └─────────────────────────────┘ │ │ ▼ ▼ ┌──────────┐ ┌────────────────┐ │ PE 解析器 │ │ 字符串提取器 │ │ pefile │ │ strings 命令 │ └──────────┘ └────────────────┘ │ │ └──────┬───────┘ ▼ ┌──────────────────┐ │ Harness 记录系统 │ │ 日志 / 快照 / 缓存 │ └──────────────────┘ │ ▼ 最终威胁报告 (.md) ## 核心特性 - **ReAct 推理循环**：LLM 自主决定调用哪个工具，最多 10 轮推理 - **Function Calling**：PE 解析器 + 字符串提取器，通过 OpenAI 兼容接口调用 - **工具调用去重**：同一参数的工具调用自动缓存，避免重复执行 - **断点续跑**：每轮推理自动保存快照，可从中断处恢复 - **结构化日志**：每步推理和工具调用结果保存为独立 JSON 文件 - **自动报告生成**：分析完成后输出 Markdown 格式威胁报告 ## 快速开始 # 安装依赖 pip install -r requirements.txt # 配置 API Key cp .env.example .env # 编辑 .env，填入你的 DeepSeek API Key # 生成测试样本 python create_test_sample.py # 运行分析 python agent.py ## 项目结构 malware_agent/ ├── agent.py # Agent 主程序（推理循环 + Harness + 工具实现） ├── create_test_sample.py # 测试样本生成脚本 ├── requirements.txt # Python 依赖 ├── .env.example # 环境变量示例 └── logs/ # 运行日志（自动生成） └── / ├── step_001_ai_reasoning.json ├── step_001_tool_call.json ├── snapshot_step_001.json ├── final_report.md └── run_summary.json ## 技术栈 - **LLM**：DeepSeek Chat API（兼容 OpenAI SDK） - **PE 解析**：pefile - **日志系统**：自定义 Harness（JSON 结构化日志 + MD5 去重缓存） ## License MIT

标签：AI 代理, AI 安全, Apex, Assetfinder, DAST, DeepSeek API, ETW劫持, Homebrew安装, Markdown 格式, OpenAI, PE 解析, ReAct 范式, 内存规避, 威胁情报, 字符串提取, 安全报告, 安全测试, 安全防护, 开发者工具, 恶意代码分析, 恶意软件分析, 攻击性安全, 日志记录, 机器学习, 自动化报告, 软件工具, 逆向工具, 配置文件