parth-pandit1/pe-anomaly-scanner
GitHub: parth-pandit1/pe-anomaly-scanner
基于 Python 的 PE 可执行文件静态分析工具,通过熵值、导入表、时间戳和附加数据等多维度检测恶意软件特征并输出可疑度评分。
Stars: 0 | Forks: 0
# PE 异常扫描器 🔍
一个基于 Python 的静态分析工具,用于扫描 Windows PE 可执行文件中的恶意软件特征,并提供可疑度评分。
## 检查内容
- SHA256 哈希 → VirusTotal 查询链接
- 编译时间戳 → 检测被擦除/伪造的时间戳
- 节区熵值 → 标记加壳/加密的节区 (>7.2)
- 导入分析 → 检测恶意软件使用的可疑 API
- 附加数据 → 最后一个节区之后的隐藏 payload
## 检测到的可疑导入
- VirtualAllocEx + WriteProcessMemory + CreateRemoteThread = 进程注入
- CryptEncrypt / CryptDecrypt = 勒索软件
- InternetOpen / WinInet = C2 通信
- RegSetValueEx = 注册表持久化
## 用法
```
pip install pefile
python pe_anomaly.py
```
## 展现的技能
- PE 格式内部结构
- 静态恶意软件分析
- Python 二进制分析
- 可疑度评分系统
#MalwareAnalysis #CyberSecurity #Python #PEFormat
标签:DAST, IP 地址批量处理, PE文件分析, Python, 云安全监控, 恶意软件分析, 无后门, 逆向工具, 静态分析