AbbasAIWorks/byteautopsy-
GitHub: AbbasAIWorks/byteautopsy-
一款轻量级 Windows PE 静态分析工具,能够一键生成包含 MITRE ATT&CK 映射、IOC 提取和加壳检测的 SOC 适配报告。
Stars: 0 | Forks: 0
# 🩻 ByteAutopsy
**自动化 PE 静态分析 + SOC 适配报告生成器,一条命令搞定。**
ByteAutopsy 接收一个 Windows PE 文件(`.exe` / `.dll`),并在几秒钟内生成一份清晰的 Markdown(以及可选的 JSON)报告,包含:
- 🔑 **文件哈希** — MD5 / SHA1 / SHA256
- 🧬 **PE 头与节区分析** — 基于熵的加壳/加密检测,可写+可执行节区标志
- 🎯 **MITRE ATT&CK 映射** — 可疑 API 导入自动匹配 ATT&CK 技术(无需手动查找)
- 🌐 **IOC 提取** — 直接从字符串中提取 IP、域名、URL、电子邮件、注册表键和文件路径
- ⚖️ **透明的判定评分** — *可能良性 / 可疑 / 可能恶意*,并显示确切的推理过程(没有黑盒)
不再需要手动将 PEStudio 的输出与 ATT&CK 矩阵进行交叉对比,然后将所有内容输入到 Word 文档中 —— ByteAutopsy 可以为您完成静态分析报告中枯燥的 80%,这样您就可以将时间花在实际的分析上。
```
$ python byteautopsy.py sample.exe
[*] Analyzing sample.exe ...
[+] Markdown report written to: sample_report.md
[+] JSON report written to: sample_report.json
[*] Verdict: Suspicious (score: 6)
```
## 为什么开发此工具
大多数静态分析工具要么 (a) 只转储原始 PE 数据而没有任何解释,要么 (b) 是设置成本高昂的重量级能力检测框架。ByteAutopsy 介于两者之间:它是一个依赖极少的单脚本工具,可将原始 PE 内部结构转化为直接用于 SOC 工单、CTF writeup 或恶意软件分析作业的内容 —— 并展示了完整的推理过程,以便您可以自行验证,而不是盲目相信黑盒判定。
## 安装
```
git clone https://github.com/AbbasAIWorks/byteautopsy-.git
cd byteautopsy
pip install -r requirements.txt
```
要求 Python 3.8+。唯一的依赖项是 [`pefile`](https://github.com/erocarrera/pefile)。
## 用法
```
# Basic — 在输入文件旁写入 sample_report.md
python byteautopsy.py sample.exe
# 自定义输出路径 + 用于工具/集成的 JSON
python byteautopsy.py sample.exe --out report.md --json report.json
# 降低 IOC 提取期间的最小字符串长度
python byteautopsy.py sample.exe --min-string-len 5
```
## 输出示例
```
## 判定推理
- 2 suspicious API import(s) matched to MITRE ATT&CK techniques (+4)
- 1 section(s) with high entropy — indicates packing/encryption (+3)
## Suspicious Imports → MITRE ATT&CK Mapping
| API | DLL | Technique | Name | Tactic |
|-----|-----|-----------|------|--------|
| VirtualAllocEx | KERNEL32.dll | T1055 | Process Injection | Defense Evasion, Privilege Escalation |
| IsDebuggerPresent | KERNEL32.dll | T1622 | Debugger Evasion | Defense Evasion |
```
## 扩展 ATT&CK 映射
整个 API → ATT&CK 查找表位于 [`mitre_mapping.json`](./mitre_mapping.json) 中 —— 它被特意与代码分离,以便任何人都可以在不修改 Python 的情况下对其进行扩展。要添加新的映射:
```
"SomeWinAPI": {
"technique": "T1059",
"name": "Command and Scripting Interpreter",
"tactic": "Execution"
}
```
非常欢迎提交扩展覆盖范围的 PR(更多 API,更多技术)—— 这是项目中最值得扩展的部分。
## 免责声明
本工具仅供教育和授权的安全研究使用。启发式判定评分仅作为分析的起点,而非绝对的分类标准 —— 请务必手动验证分析结果。作者不对滥用行为负责。
## 许可证
MIT — 查看 [LICENSE](./LICENSE)。
标签:DAST, DNS 反向解析, Homebrew安装, PE文件分析, Python, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 无后门, 无线安全, 网络信息收集, 自动化分析, 跨站脚本, 逆向工具, 逆向工程