carlosparra/PE-inspector

# PE 检查器 **面向企业安全团队的高性能恶意软件分析工具包** ## 🎯 它能做什么 PE Inspector 是一个由 Rust 编写的闪电般快速的应用程序，专为需要大规模分析 Windows 可移植可执行文件（PE 文件）的网络安全专业人士设计。它自动在整个网络或文件系统中发现、指纹和编目 PE 文件，创建一个与云基础设施无缝集成的全面安全清单。 ## 🚀 关键优势 - **闪电般快速**：由 Rust 驱动的性能以最小的资源消耗处理大型文件系统 - **云原生**：直接集成 S3，适用于分布式团队和可扩展存储 - **企业级**：为管理数千个端点的安全团队构建 - **零误报**：高级 PE 头部验证确保准确检测 - **审计跟踪**：完整的 JSON 元数据，用于合规性和法医分析 ## 💼 适用于 - **SOC 团队**分析网络中的可疑可执行文件 - **事件响应**团队编目恶意软件样本 - **威胁猎人**构建全面的 PE 文件清单 - **安全研究人员**管理大型恶意软件集合 - **合规团队**维护可执行文件的审计跟踪 ## ⚡ 快速入门 ### 先决条件 ``` # 安装 Rust（如果尚未安装） curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh # 配置 AWS 凭据 aws configure ``` ### 配置 在您的项目目录中创建一个 `.env` 文件： ``` BUCKET_NAME=your-pe-files-bucket JSON_BUCKET_NAME=your-metadata-bucket ``` ### 构建 & 部署 ``` # 生产构建 cargo build --release # 可执行文件将在：./target/release/pe-inspector ``` ## 📋 使用方法 ``` pe-inspector ``` ### 参数 - **ClientId**：您组织/客户的唯一标识符 - **ImageName**：活动或系统标识符（成为 S3 前缀） - **ScanPath**：扫描 PE 文件的根目录 ### 示例 ``` # 扫描 Windows 系统进行恶意软件分析 pe-inspector acme-corp-2024 workstation-alpha "C:\Program Files" # 分析恶意软件样本目录 pe-inspector forensics-lab sample-batch-001 "/mnt/samples" ``` ## 🏗️ 架构 ### 智能文件发现 - 具有错误恢复能力的递归目录遍历 - PE 头部验证（DOS 签名：`0x4D5A`） - 智能错误记录，用于访问拒绝场景 ### 加密指纹 - SHA-256 哈希用于唯一文件标识 - 嵌套 S3 存储结构：`image/hash[0:2]/hash[2:4]/hash[4:6]/full_hash` - 防止重复上传并启用快速查找 ### 元数据生成 ``` { "file_hash": "a1b2c3d4e5f6...", "file_path": "/original/path/malware.exe", "s3_path": "s3://bucket/image/a1/b2/c3/a1b2c3d4e5f6...", "client_id": "your-org-2024", "image_name": "campaign-alpha" } ``` ## 🔧 高级功能 ### 智能去重 - 自动检测现有上传 - 如果图像已存在于存储桶中，则跳过处理 - 节省带宽和处理时间 ### 错误恢复 - 在 `scan_errors.log` 中进行全面的错误记录 - 尽管单个文件失败，但继续处理 - 详细的上传统计信息和时间 ### 进度监控 - 实时扫描进度指示器 - 上传时间和吞吐量指标 - 处理文件总数摘要 ## 🛡️ 安全功能 - **只读扫描**：永远不会修改源文件 - **安全 S3 集成**：使用 AWS SDK 并进行适当的凭证管理 - **审计日志**：所有操作的完整记录 - **访问控制**：尊重文件系统权限 ## 📊 输出 ### 控制台输出 ``` Scanning....... Start uploading files to S3... Processing file: /path/to/suspicious.exe Uploaded successfully: /path/to/suspicious.exe Total files uploaded: 42 Total time to upload all files: 1.23s ``` ### 生成的工件 - **S3 文件存储**：按哈希组织，以便快速检索 - **metadata.json**：完整的扫描结果，以 JSON 格式 - **scan_errors.log**：详细的错误日志，用于故障排除 ## 🌐 企业集成 - **SIEM 就绪**：JSON 输出可集成到 Splunk、ELK 和其他平台 - **API 兼容**：S3 存储启用程序化访问 - **可扩展**：处理企业级部署 - **多客户端**：内置客户端隔离，适用于托管服务提供商 ## 🚀 性能 - **内存高效**：流式传输大文件，而无需完全加载到 RAM 中 - **并发处理**：Async/await 以实现最大吞吐量 - **网络优化**：具有适当错误处理的效率高的 S3 上传 *由安全专业人士为安全专业人士构建。PE Inspector 将手动恶意软件分析转化为自动化、可扩展的安全智能。*

标签：DAST, Force Graph, Homebrew安装, Rust 编程语言, S3 云存储, SHA-256 哈希, SIEM 集成, Windows PE 文件, 不可变基础设施, 企业安全, 可视化界面, 合规团队, 合规性审计, 大规模文件系统分析, 威胁情报, 威胁猎人, 安全响应, 安全库存, 开发者工具, 性能优化, 恶意软件分析, 检测绕过, 端点管理, 网络资产管理, 通知系统