EUGEN-NYONGESA/malware-analysis

# 恶意软件分析 这是一个记录实操**恶意软件分析**工作的学习与作品集仓库， 基于一个可复用的防御性**静态分析 pipeline 模式**构建。 ## 仓库结构 ``` malware-analysis/ ├── README.md ← you are here ├── .gitignore ├── part-one/ ← COMPLETE │ ├── README.md Part 1 overview + how to run │ ├── docs/ │ │ └── documentation.md Full unit study guide (concepts → workflow → glossary) │ ├── pseudocode/ │ │ └── static-analysis-pipeline.md Reusable, language-agnostic pattern │ └── code/ │ ├── basic_analysis.py Technical lesson — analyzes "suspicious.bin" │ └── pdf_analysis.py Graded lab — analyzes "suspicious.pdf" └── part-two/ ← PENDING (placeholder) └── README.md ``` ## 包含内容 | 部分 | 主题 | 状态 | |------|-------|--------| | **第一部分** | 恶意软件分析简介；静态分析与动态分析；使用 Python 自动化基础**静态**分析 | ✅ 已完成 | | **第二部分** | _待添加_ | ⏳ 待定 | ## 核心理念：一个可复用的 pipeline 本仓库中的所有静态分析代码都是相同的五阶段 pipeline，只是指向了 不同的工件（artifact）： ``` Acquire → Extract → Fingerprint → Detect → Report (read (printable (MD5 + (keyword (readable bytes) strings) SHA-256) scan) summary) ``` - `basic_analysis.py` 将其应用于通用二进制文件 (`suspicious.bin`)。 - `pdf_analysis.py` 将其应用于 PDF 文件 (`suspicious.pdf`) —— 只有文件路径和 可疑关键词列表发生了改变。 该模式本身记录在 [`part-one/pseudocode/static-analysis-pipeline.md`](part-one/pseudocode/static-analysis-pipeline.md) 中，因此可以将其复用于未来的工件类型。 ## 快速开始 仅需 Python 3 标准库 (`os`, `re`, `hashlib`) —— 无需安装任何第三方依赖。 ``` # 从 repo 根目录 cd part-one/code python3 pdf_analysis.py # expects a file named suspicious.pdf in the cwd python3 basic_analysis.py # expects a file named suspicious.bin in the cwd ``` 由于这些是模拟实验，样本文件通常不会存在 —— 脚本会平滑地处理 这种情况，并打印读取错误消息，而不是导致崩溃。 ## 作者 **Eugen Nyongesa** —— 网络安全课程作业与作品集。 ## 许可证 目前尚未包含许可证文件。如果您希望他人复用代码，请添加一个（例如 MIT）； 在此之前，适用默认的版权声明。

标签：DAST, Python, 云安全监控, 安全教育, 恶意软件分析, 攻防实验, 无后门, 静态分析