DevaanshiV/malware-behavior-sandbox

# 自动化恶意软件行为沙箱模拟器 这是一个零依赖、生产就绪的 Python 3 沙箱模拟器，用于恶意软件行为分析。专为安全研究和作品集演示而设计，该工具构建了一个动态分析 runtime 模型，用于监控系统交互、标记可疑活动，并生成结构化的审计跟踪——所有这些都仅使用内置的 Python 模块完成。 ## 技术概述 该模拟器模拟了一个轻量级的行为沙箱，拦截并评估三个核心类别的系统交互： - **注册表修改** - **进程内存注入尝试** - **网络信标** 它基于规则的决策引擎运行，将每个模拟动作与可配置的“安全”行为基线进行比较。偏离基线的操作将被分配一个风险评分（0–100），如果超过阈值，则会被标记为恶意行为，并在终端输出中显示为“已阻止”。该系统会生成实时的彩色控制台流，并在最后生成结构化的 ASCII 摘要矩阵，非常适合包含在取证报告或 PoC 交付物中。 ## 动态分析沙箱机制 该模拟器实现了一个轻量级的事件驱动循环，模拟全功能沙箱的核心功能： 1. **Payload 生成** – 每次迭代都会合成一个随机的系统交互（注册表写入、注入或网络请求），并带有真实的参数（例如，注册表路径、进程名、域名/IP 地址）。 2. **实时评估** – `evaluate_action()` 函数会应用启发式风险分析： - 将目标路径、进程名和网络目的地与内置的白名单和黑名单进行比较（例如，可疑的注册表项模式、`lsass.exe` 等关键进程、可疑的 TLD）。 - 计算风险评分；分数 > 50 将触发恶意判定。 3. **控制台遥测** – 所有事件都会立即使用 ANSI 颜色代码打印出来： - 绿色的 `[SYSTEM CLEAN - BEHAVIOR NORMAL]` 表示良性操作。 - 红色的 `[ALERT - MALICIOUS BLOCKED]` 表示恶意操作，包括进程 ID、目标和原因。 4. **审计日志** – 每个事件都存储在内存中，随后被格式化为表格摘要，并按风险评分排序，以便快速确定威胁的优先级。 5. **模拟 Runtime** – 迭代之间的 `time.sleep()` 延迟模拟了真实监控系统的节奏，便于直观检查实时流。 ## 进程监控参数（配置） 所有行为规则均在 `BASELINE` 字典中定义，无需修改核心逻辑即可轻松扩展。 ### 注册表监控 - **安全前缀** – 被视为良性的注册表路径（例如，用户/系统的 Run 项）。 - **可疑模式** – 与策略更改、服务配置和映像文件执行选项相关的路径；这些会提高风险评分。 ### 进程注入监控 - **关键进程** – 高价值目标列表（`lsass.exe`、`winlogon.exe`、`services.exe`）。任何针对这些进程的注入尝试都会被分配 85 的风险评分（高度恶意）。 ### 网络信标监控 - **安全域名 / IP** – 预批准的目的地（例如，`microsoft.com`、`8.8.8.8`），只会产生最小的风险。 - **可疑 TLD** – 以 `.top`、`.xyz`、`.ru` 等结尾的域名会触发高风险评分。 ### 风险评分逻辑 - 每种操作类型都有一个基础风险，然后会根据上下文（例如，注册表路径敏感性、目标进程关键性、域名声誉）进行修改。 - 分数限制在 0 到 100 之间，并使用 50 作为分类阈值。 ## 前置条件设置 - **Python 3.6+** – 脚本完全依赖标准库（`time`、`random`、`json`）。无需任何外部包。 - **支持 ANSI 颜色的终端** – 为了获得最佳的可视化效果，请使用现代终端（Linux/macOS 内置终端，Windows 10+ 的 Windows Terminal 或 PowerShell）。 ## 安装步骤 1. 克隆仓库： git clone https://github.com/yourusername/automated-malware-sandbox.git cd automated-malware-sandbox

标签：DAST, IP 地址批量处理, Python, 恶意软件分析, 无后门, 沙箱模拟