aiitorres/sixeyes
GitHub: aiitorres/sixeyes
SixEyes 是一个基于 Python 的模块化静态恶意软件分析引擎,通过哈希校验、熵值分析、PE 解析、自动去混淆和 YARA 匹配实现对可疑二进制文件的免执行安全评估。
Stars: 1 | Forks: 0
# SixEyes
[](https://www.python.org)
[](LICENSE)
[](https://github.com/YOUR_USERNAME/six-eyes)
SixEyes 是一个模块化、高性能的静态恶意软件分析和自动去混淆引擎,使用 Python 开发。该系统专为安全研究人员和逆向工程师设计,可执行快速的结构化分类,评估威胁指标,并在不执行样本的情况下剥离二进制目标中常见的规避和混淆层。
## 技术特性
* 加密分类:生成自动化的 MD5 和 SHA-256 签名,用于与威胁情报源进行交叉比对。
* Shannon 熵计算:评估文件各个区块中字节级的数据随机性,以检测加密加壳器或压缩 payload。
* 可执行文件 (PE) 解析:使用 pefile 框架审计导入地址表 (IAT) 和节区头,以标记可疑的 API 组合(例如,内存注入和进程操纵原语)。
* 自动去混淆:采用算法化的单字节 XOR 暴力破解模块,以暴露隐藏的字符串、配置文件和网络指标。
* YARA 模式匹配:将业界标准的签名扫描无缝集成到核心分析 pipeline 中。
## 核心架构
```
sixeyes/
├── core/
│ ├── hash_manager.py - Hashing engine and string extraction routines
│ ├── entropy.py - Mathematical Shannon Entropy implementations
│ ├── pe_parser.py - Windows Portable Executable structural layout parser
│ └── deobfuscator.py - Algorithmic XOR and Base64 reverse-engineering tools
└── signatures/
└── indicators.yar - Static signature definitions and IoC rules
```
## 安装说明
### 前置条件
所有操作必须在隔离的恶意软件分析工作区(例如 Flare-VM、REMnux 或使用 Host-Only 网络配置的物理隔离虚拟机)中执行。
### 设置
1. 从源码克隆仓库:
```
git clone [https://github.com/YOUR_USERNAME/six-eyes.git](https://github.com/YOUR_USERNAME/six-eyes.git)
cd six-eyes
```
2. 安装强制的系统架构依赖项和 Python 模块:
```
pip install -r requirements.txt
```
## 部署与使用
要将可疑的 artifact 或二进制文件路由通过静态分析 pipeline,请执行主入口点接口:
```
python -m sixeyes.cli --file path/to/suspicious_file.exe
```
## 评估输出样本
执行后,SixEyes 会将所有分析遥测数据整合到标准化的 JSON 审计报告中:
```
{
"target_file": "examples/sample_binary.txt",
"hashes": {
"md5": "fac891c8928c039d5621e7d890cf2c12",
"sha256": "8f3c9a410b001a4e527d7ccf919d11a76a520117dcf820a273183aa101c402e3"
},
"global_entropy": 5.42,
"is_packed_prediction": false,
"yara_alerts": [
"Suspicious_Indicators"
],
"pe_header_analysis": {
"is_pe": false,
"sections": [],
"suspicious_imports": []
},
"deobfuscated_xor_lines": [
"[http://google.com](http://google.com)"
]
}
```
## 许可证
该框架在开源的 MIT 许可证下分发。有关明确条款,请参阅 LICENSE 文件。
## 免责声明
该工具专为教育研究、威胁情报收集和授权的安全审计操作而设计。对于在严格的实验室隔离环境之外不当处理武器化样本所造成的损害,作者不承担任何责任。
标签:DAST, DNS 反向解析, Python, YARA, 云安全监控, 云资产可视化, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 文档结构分析, 无后门, 自动化去混淆, 逆向工具, 逆向工程, 静态分析