kk8761/Malware-Analysis-Toolkit
GitHub: kk8761/Malware-Analysis-Toolkit
基于 Python 的恶意软件静态分析工具包,集成哈希生成、字符串提取、YARA 扫描、PE 分析、可疑 API 检测和自动化报告生成等功能。
Stars: 0 | Forks: 0
# 恶意软件分析工具包
# 恶意软件分析工具包
这是一个基于 Python 开发的恶意软件分析工具包,在 Kali Linux 上构建,用于静态恶意软件分析、YARA 检测、PE 文件检查、可疑 API 检测以及自动化报告生成。
## 概述
本项目展示了网络安全分析师和恶意软件研究人员使用的基础恶意软件分析技术。该工具包可以:
* 生成 MD5 和 SHA256 哈希值
* 从文件中提取可打印字符串
* 使用 YARA 规则扫描文件
* 分析 Portable Executable (PE) 文件
* 检测可疑的 Windows API 导入
* 计算恶意软件风险评分
* 生成自动化的恶意软件分析报告
## 功能
### 1. 哈希分析
生成用于恶意软件识别的文件指纹。
支持的哈希算法:
* MD5
* SHA256
### 2. 字符串提取
从可疑文件中提取可读字符串,以识别:
* 命令
* URL
* 文件路径
* API 名称
* 可疑指标
### 3. YARA 规则扫描
使用自定义的 YARA 规则检测恶意软件特征。
当前规则:
* EICAR 测试文件检测
* 虚假恶意软件检测器
### 4. PE 文件分析
分析 Windows 可执行文件。
提取信息:
* Entry Point
* Image Base
* Sections
* 导入的 DLL
* 导入的函数
### 5. 可疑 API 检测
检测潜在恶意的 Windows API,例如:
* VirtualProtect
* VirtualAlloc
* VirtualAllocEx
* CreateRemoteThread
* WriteProcessMemory
* LoadLibraryA
* GetProcAddress
### 6. 恶意软件风险评分
根据可疑 API 的使用情况分配风险评分。
风险等级:
* 低风险
* 中风险
* 高风险
* 严重风险
### 7. 自动化报告生成
生成包含以下内容的综合报告:
* 哈希值
* YARA 结果
* 提取的字符串
* 恶意软件指标
## 项目结构
```
Malware-Analysis-Toolkit/
│
├── scanner.py
├── pe_analyzer.py
├── suspicious_api_detector.py
├── malware_score.py
├── final_report.py
│
├── all_rules.yar
├── first_rule.yar
├── malware_rule.yar
│
├── reports/
├── hashes/
├── Submission/
│
└── README.md
```
## 使用技术
* Python 3
* YARA
* pefile
* Kali Linux
* Binutils
* Hexedit
* MinGW-w64
## 安装说明
### 克隆仓库
```
git clone https://github.com/kk8761/Malware-Analysis-Toolkit.git
cd Malware-Analysis-Toolkit
```
### 安装依赖
```
sudo apt update
sudo apt install yara binutils python3 python3-pip hexedit -y
pip3 install pefile --break-system-packages
```
## 用法
### 哈希与字符串扫描器
```
python3 scanner.py
```
### PE 文件分析器
```
python3 pe_analyzer.py
```
### 可疑 API 检测
```
python3 suspicious_api_detector.py
```
### 恶意软件风险评分
```
python3 malware_score.py
```
### 最终报告生成
```
python3 final_report.py
```
## 示例输出
### 可疑 API 检测
```
=== SUSPICIOUS API CHECK ===
[!] Suspicious API Found: VirtualProtect
```
### 风险评分
```
=== SCORE ===
Risk Score: 10
Assessment: Low Risk
```
### YARA 检测
```
=== YARA RESULTS ===
Fake_Malware_Detector suspicious.bin
```
## 教育目的
本项目出于教育和研究目的而开发,旨在学习:
* 恶意软件分析
* 静态分析技术
* YARA 规则开发
* PE 文件结构
* Windows API 检查
* 网络安全自动化
本仓库不包含任何真实的恶意软件样本。
## 未来改进
* 熵分析
* 加壳文件检测
* 集成 VirusTotal
* IOC 提取
* 生成 PDF 报告
* 恶意软件家族分类
* Web 仪表板
## 作者
Karri Karthik Reddy
* B.Tech CSE, SRM Institute of Science and Technology
* 网络安全爱好者
* GitHub: https://github.com/kk8761
## 许可证
本项目仅供教育和学术用途发布。
欢迎自由 fork、学习并在此基础上进行改进。
标签:DAST, DNS 反向解析, PE文件分析, Python, YARA, 云安全监控, 云资产可视化, 恶意软件分析, 无后门, 逆向工具, 静态分析