Trung-Chigusa/Cinderella-Protection

# Cinderella 保护 一款基于 WPF .NET 8 的桌面应用，用于本地静态恶意软件初检、文件哈希计算、PE 检查、IOC 提取、离线 YARA-lite 规则匹配以及模拟文件信誉查询。 ## 安全性 - 仅限静态分析。该应用不会执行被扫描的样本。 - 信誉查询默认为模拟实现，不会上传文件。 - YARA-lite 规则从本地文件夹加载。 ## 功能 - 拖放文件、多个文件或文件夹以进行递归扫描。 - 采用 1 MB 分块读取方式进行 MD5、SHA-1 和 SHA-256 哈希计算。 - 通过 magic bytes 检测文件类型。 - 计算文件整体熵值。 - Windows PE 分析： - 架构、编译时间戳、子系统、特征。 - 区段列表和区段熵。 - 导入、导出、imphash。 - 数字签名状态。 - 可疑的静态指标，如高熵值、可写可执行区段以及可疑导入。 - IOC 提取： - URL、域名、IPv4 地址、电子邮件、注册表键和可疑字符串。 - 离线 YARA-lite 匹配： - 文本字符串。 - 简单的十六进制模式，例如 `{ 4D 5A ?? }`。 - 基本的 `any of them`、`all of them`、`$a or $b` 和 `$a and $b` 条件。 - 可配置的 worker 数量。 - 按文本和状态筛选结果。 - 哈希、PE 摘要、IOC 摘要、PE 指标、imphash、URL 和匹配规则的行详细信息。 - 复制 SHA-256 并打开所在文件夹。 - 导出 JSON 和 CSV 报告。 - 英语/越南语本地化。 - 发布的 EXE 图标由 `app.jpg` 生成。 ## 构建 ``` cd "C:\Users\Ninym\Desktop\hoc web\phan_tich_malware\CinderellaProtection" dotnet build ``` ## 发布 ``` dotnet publish -c Release ``` 单文件 EXE 生成于： ``` CinderellaProtection\bin\Release\net8.0-windows\win-x64\publish\ ``` ## 规则 包含一个入门规则文件： ``` Rules\SampleRules.yar ``` 打开应用，点击 **Rules Folder**，并选择 `Rules` 文件夹以启用匹配。 ## 项目结构 ``` CinderellaProtection/ Converters/ Helpers/ Localization/ Models/ Rules/ Services/ App.xaml MainWindow.xaml MainWindow.xaml.cs CinderellaProtection.csproj ``` ## 注意事项 本应用旨在用于本地防御性分析和学习。请将未知文件视为不安全，并在受控环境中进行分析。

标签：DAST, IOC提取, .NET 8, PE文件分析, WPF, YARA, 云安全监控, 云资产可视化, 恶意软件分析, 桌面应用, 静态分析