Govisharj/AI-Assisted-Reverse-Engineering-Malware-Analysis-Platform

GitHub: Govisharj/AI-Assisted-Reverse-Engineering-Malware-Analysis-Platform

一个基于 Ghidra Headless 和 Flask 构建的 Web 平台，通过自动化静态分析、行为检测和风险评分来简化可执行文件的恶意软件分析流程。

Stars: 0 | Forks: 0

# AI 辅助逆向工程与恶意软件分析平台 ## 概述 AI 辅助逆向工程与恶意软件分析平台是一个基于 Web 的应用程序，它利用 Ghidra 的 headless 模式自动执行可执行文件分析。该平台提取函数、生成调用图、识别行为模式、计算风险评分、对潜在的恶意软件家族进行分类，并通过交互式仪表板展示结果。该项目的目标是通过提供自动化的行为分析和安全洞察来简化逆向工程工作流程，而无需用户手动操作复杂的逆向工程工具。 ## 功能 ### 静态分析 * 使用 Ghidra Headless Analyzer 进行自动化可执行文件分析 * 从 Windows 可执行文件中提取函数 * 生成调用图 * 检测导入的 API ### 行为检测检测以下行为： * 身份验证 * 文件访问 * 网络通信 * 加密 * 进程检查 * 安全操作 * 潜在的数据窃取 ### 风险评估 * 基于行为的风险评分 * 风险等级分类： * LOW * MEDIUM * HIGH * CRITICAL ### 恶意软件家族分类识别潜在的恶意软件类别，包括： * 凭据窃取器 * 数据窃取工具 * 疑似勒索软件 * 远程访问木马 (RAT) * 良性 / 未知 ### 交互式仪表板 * 文件信息 * 函数浏览器 * 可搜索的函数列表 * 风险表可视化 * 行为卡片 * AI 生成的安全判定 * 调用图可视化 ## 架构 ``` Executable Upload ↓ Flask Web Application ↓ Ghidra Headless Analysis ↓ Function Extraction ↓ Call Graph Extraction ↓ Behavior Detection Engine ↓ Risk Scoring Engine ↓ Malware Family Classification ↓ AI Verdict Generation ↓ Interactive Dashboard ``` ## 技术栈 ### 后端 * Python * Flask ### 逆向工程 * Ghidra Headless Analyzer * 自定义 Ghidra Java 脚本 ### 分析 * NetworkX * Matplotlib ### 前端 * HTML * CSS * JavaScript ## 项目结构 ``` AI-Assisted-Reverse-Engineering-Malware-Analysis-Platform/ │ ├── app.py │ ├── engines/ │ ├── analyzer.py │ ├── behavior_engine.py │ ├── risk_engine.py │ ├── ghidra_engine.py │ ├── callgraph_engine.py │ ├── family_classifier.py │ ├── verdict_engine.py │ └── graph_visualizer.py │ ├── ghidra_scripts/ │ ├── ExtractFunctions.java │ └── CallGraphExtractor.java │ ├── templates/ │ ├── index.html │ └── dashboard.html │ ├── static/ │ └── callgraph.png │ ├── uploads/ │ └── README.md ``` ## 安装说明 ### 克隆仓库 ``` git clone https://github.com/Govisharj/AI-Assisted-Reverse-Engineering-Malware-Analysis-Platform.git cd AI-Assisted-Reverse-Engineering-Malware-Analysis-Platform ``` ### 安装依赖 ``` pip install flask pip install networkx pip install matplotlib ``` ### 配置 Ghidra 更新以下文件中的 Ghidra 安装路径： ``` engines/ghidra_engine.py ``` 以匹配您本地的 Ghidra 安装路径。 ### 运行应用程序 ``` python app.py ``` 打开： ``` http://127.0.0.1:5000 ``` ## 分析输出示例 ### 检测到的行为 ``` Authentication File Access Encryption Network Communication ``` ### 风险评估 ``` Risk Score: 115 Risk Level: CRITICAL ``` ### AI 判定 ``` This executable performs credential validation, reads local files, encrypts information, and communicates over a network. Possible Malware Family: Credential Stealer. ``` ## 未来增强计划 * 批量可执行文件分析 * 生成 PDF 报告 * 高级恶意软件家族预测 * 字符串提取与分析 * 基于反编译器的语义分析 * 实时监控与文件夹监视 * 基于机器学习的分类 * 威胁情报集成 ## 简历亮点 * 使用 Python、Flask 和 Ghidra 开发了一个 AI 辅助逆向工程平台。 * 实现了可执行文件分析、调用图生成、行为检测和风险评估的自动化。 * 为恶意软件分析和可视化构建了交互式仪表板。 * 将静态分析技术与行为智能相结合，以提供安全洞察。 ## 作者 **Govisha R J** 计算机科学工程师 | 软件开发者 | 网络安全爱好者

标签：DAST, Flask, Ghidra, JS文件枚举, Web平台, 云安全监控, 云资产清单, 人工智能, 后端开发, 多模态安全, 恶意软件分析, 数据可视化, 特权检测, 用户模式Hook绕过, 逆向工具, 逆向工程, 静态分析