jeweisy/MiniSandBox
GitHub: jeweisy/MiniSandBox
一个基于 Python 的轻量级静态恶意软件分析引擎,通过解析 PE 文件结构、提取威胁指标并查询 VirusTotal,在不执行文件的前提下生成结构化风险报告。
Stars: 0 | Forks: 0
# 🛡️ MiniSandBox
一个使用 Python 构建的轻量级、模块化**静态恶意软件分析引擎**。
MiniSandBox 会在不执行 Windows PE(Portable Executable)文件的情况下对其进行分析,
提取威胁指标,查询 VirusTotal,并生成结构化的风险报告。
## 功能特性
- **加密哈希** — MD5, SHA1, SHA256 指纹提取
- **PE 导入分析** — 解析导入地址表(IAT)以检测可疑的 API 调用
- **字符串提取** — 提取 ASCII 和 Unicode 字符串,过滤可疑模式(URL、注册表路径、危险的 API)
- **区段熵分析** — 使用香农熵检测加壳或加密的区段
- **VirusTotal 集成** — 通过 VirusTotal v3 API 查询威胁情报
- **风险评分引擎** — 生成 0-100 的威胁评分,并附带 CLEAN(干净) / SUSPICIOUS(可疑) / MALICIOUS(恶意)的判定结果
- **现代化 GUI** — 使用 CustomTkinter 构建的深色主题界面
- **JSON 报告** — 所有发现均导出为结构化的 JSON 报告
## 截图
## 安装说明
**环境要求:** Python 3.10+,Windows(PE 分析主要针对 Windows 平台)
```
git clone https://github.com/jeweisy/MiniSandBox.git
cd MiniSandBox
pip install -r requirements.txt
```
**设置你的 VirusTotal API 密钥**(可在 [virustotal.com](https://www.virustotal.com) 免费获取):
```
$env:VT_API_KEY = "your_api_key_here"
```
## 使用说明
**GUI 模式:**
```
python gui.py
```
**CLI 模式:**
```
python main.py
```
将目标 `.exe` 文件放入 `samples/` 目录,并更新 `main.py` 中的路径。
## 项目结构
```
MiniSandBox/
├── core/
│ ├── hasher.py # MD5, SHA1, SHA256 hashing
│ ├── pe_analyzer.py # PE Import Address Table parser
│ ├── analyzer.py # String extraction & section entropy
│ ├── vt_checker.py # VirusTotal API integration
│ └── reporter.py # Risk scoring engine & JSON export
├── gui.py # CustomTkinter GUI
├── main.py # CLI entry point
├── requirements.txt
└── reports/ # Generated analysis reports (gitignored)
```
## 风险评分
| 评分 | 判定结果 |
|-------|---------|
| 0 – 30 | ✅ CLEAN |
| 31 – 60 | ⚠️ SUSPICIOUS |
| 61 – 100 | 🔴 MALICIOUS |
评分因素:VirusTotal 检出率、区段熵、可疑字符串、动态行为(Phase 2)。
## 路线图
- [x] 静态分析引擎(哈希、IAT、字符串、熵)
- [x] VirusTotal 威胁情报
- [x] 风险评分与判定系统
- [x] 现代化深色 GUI
- [ ] 动态沙盒(Phase 2) — 基于 VMware 隔离的行为分析
- [ ] HTML 报告导出
- [ ] YARA 规则集成
## 免责声明
本工具仅供**教育和研究目的使用**。
请务必在隔离环境中分析文件。切勿在宿主机上运行未知的可执行文件。
## 作者
**jeweisy** — 安卡拉大学网络安全学生
[github.com/jeweisy](https://github.com/jeweisy)
标签:DAST, PE文件分析, Python, 云安全监控, 威胁情报, 开发者工具, 恶意软件分析, 无后门, 逆向工具, 静态分析