KetanDav/Malware_Analysis

# MalwareScope — 离线自动化恶意软件分析平台 ## 快速开始 ``` # 1. 安装 dependencies setup.bat # 2. 启动 server run.bat # 3. 打开 browser http://localhost:8080 ``` ## 功能 | 功能 | 状态 | 备注 | |---|---|---| | 文件上传 (EXE) | ✅ | 拖拽或浏览 | | MD5/SHA1/SHA256 哈希计算 | ✅ | 始终计算 | | PE 元数据提取 | ✅ | 架构、编译时间、节区、导入表 | | 字符串提取 | ✅ | 4+ 字符的可打印 ASCII 字符串 | | 香农熵 | ✅ | 针对文件和节区 | | YARA 扫描 | ✅ | 内置 10 条演示规则 | | IOC 提取 | ✅ | 通过正则表达式提取 IP、域名、URL、哈希 | | 威胁情报 | ✅ | 本地 JSON 源（哈希、IP、域名） | | 风险评分 | ✅ | 确定性 0-100 分，7 个评分维度 | | HTML 报告 | ✅ | 执行摘要 + 技术摘要 | | PDF 导出 | ✅ | xhtml2pdf（纯 Python，无需外部工具） | | 分析时间轴 | ✅ | 带图标的事件时序日志 | | VMware 动态分析 | ✅ | 需要 VMware Workstation Pro | | 仪表板 | ✅ | 统计数据、近期分析、风险概览 | ## 环境要求 - Python 3.11+ - Windows（动态分析需要 VMware Workstation Pro） - VMware 虚拟机：`Windows 11`，快照：`Win11` - 虚拟机来宾用户：`analyst` / 密码：`Password1`（可在 `app/config.py` 中配置） ## 配置说明 编辑 `app/config.py` 以设置： ``` VMRUN_PATH = r"C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" VMWARE_VMX_PATH = r"C:\VMs\Windows 11\Windows 11.vmx" VMWARE_SNAPSHOT = "Win11" VM_GUEST_USER = "analyst" VM_GUEST_PASSWORD = "Password1" ``` ## 项目结构 ``` project/ ├── app/ │ ├── main.py ← FastAPI entry point │ ├── config.py ← All configuration │ ├── routes/ ← API + page routes │ └── templates/ ← Jinja2 HTML templates ├── modules/ │ ├── static_analysis/ ← hashing, PE, strings, entropy, YARA │ ├── dynamic_analysis/← VMware controller │ ├── ioc_extraction/ ← regex-based IOC extraction │ ├── threat_intel/ ← local JSON feed checker │ ├── risk_scoring/ ← deterministic scorer │ ├── reporting/ ← HTML + PDF generation │ └── analyzer.py ← Main pipeline orchestrator ├── storage/ ← samples, analysis JSON, reports ├── threat_intel/ ← malicious_hashes/domains/ips.json ├── yara_rules/ ← malware_demo.yar (10 rules) ├── docs/ ← WORKSTATE, TASKS, HANDOFF, etc. ├── setup.bat └── run.bat ``` ## 风险评分图例 | 范围 | 标签 | 含义 | |---|---|---| | 0–30 | 低 | 无明显指标 | | 31–60 | 中 | 存在部分可疑特征 | | 61–80 | 高 | 具有强烈的恶意软件特征 | | 81–100 | 严重 | 已知恶意软件或多因素确认 | ## API 端点 | 端点 | 描述 | |---|---| | `GET /` | 仪表板 | | `GET /upload` | 上传页面 | | `POST /upload` | 提交 EXE 进行分析 | | `GET /analysis/{id}` | 分析结果 | | `GET /analysis/{id}/status` | JSON 状态（用于轮询） | | `GET /analysis/{id}/timeline` | 时间轴视图 | | `GET /analysis/{id}/iocs` | IOC 视图 | | `GET /analysis/{id}/report` | 报告视图 | | `GET /analysis/{id}/report/html` | 下载 HTML 报告 | | `GET /analysis/{id}/report/pdf` | 下载 PDF 报告 | | `POST /analysis/{id}/dynamic` | 触发 VMware 动态分析 | | `GET /api/docs` | 交互式 API 文档 | *MalwareScope v1.0.0 — 仅供教育和演示用途。*

标签：AV绕过, DAST, FastAPI, VMware, YARA, 云资产可视化, 后端开发, 威胁情报, 开发者工具, 恶意软件分析, 自动化分析沙箱, 逆向工具