1v4mp1r3/binary-packer-analysis-lab

# 二进制加壳分析实验室 `packlab` 是一款防御性静态分析 CLI，用于检测 PE、ELF 和原始二进制文件中的加壳特征。它会读取元数据，映射 section 的熵值，应用可解释的加壳规则，并输出文本、JSON 和 HTML 报告。 该项目使用 Go 语言实现了 Notion 项目 **“二进制加壳分析实验室”**。 ## 功能 - PE 和 ELF 元数据解析。 - SHA-256 哈希计算和入口点报告。 - 在可用时提取导入库。 - Section 级别的熵值映射。 - PE overlay 检测。 - UPX 标记和类 UPX section 检测。 - 针对高熵值、W+X section、低导入量和 overlay 的规则。 - 可解释的评分和判定。 - JSON 和 HTML 报告。 - 测试中包含无害的合成测试用例。 ## 安装 ``` go build -o bin/packlab.exe ./cmd/packlab ``` ## 用法 ``` bin/packlab.exe analyze .\some-binary.exe --json packlab-report.json --html packlab-report.html ``` 在发现可疑特征时使 CI 失败： ``` bin/packlab.exe analyze .\some-binary.exe --fail-on-suspicious ``` ## 判定结果 - `not-packed`：未触发任何有意义的加壳特征。 - `suspicious`：触发了一个或多个弱或中等强度的特征。 - `packed-likely`：触发了强 UPX 标记或较高的综合评分。 ## 安全范围 本实验室适用于对您拥有、编译或被授权检查的二进制文件进行静态防御性分析。它不会执行样本、解密 payload、修补二进制文件或携带恶意软件样本。 ## 开发 ``` go test ./... go build -o bin/packlab.exe ./cmd/packlab ``` ## 项目结构 ``` cmd/packlab CLI entry point internal/analysis parsers, entropy, rule engine internal/report text, JSON, and HTML reports docs/ architecture and safe sample notes ```

标签：DNS 反向解析, EVTX分析, Go, Ruby工具, 二进制分析, 云安全监控, 云安全运维, 文档结构分析, 日志审计, 静态分析