Rhacknarok/hacksguard
GitHub: Rhacknarok/hacksguard
一款用 Rust 编写的多线程终端 UI 恶意软件静态分析工具,通过深度 PE 解析、YARA 扫描和启发式风险评分帮助安全分析师快速分类和检查可执行文件。
Stars: 42 | Forks: 5
# HacksGuard - 极速 TUI 恶意软件分析工具 🛡️




HacksGuard 是一款极速、多线程的终端 UI (TUI) 静态分析工具,专为 SOC 分析师、威胁狩猎者和逆向工程师设计。它完全使用 Rust 构建,提供了一个直观的仪表盘,支持直接在终端中对可移植可执行 (PE) 文件进行快速分类和深度检查。
## 🌟 核心功能
- **极速且多线程**:核心分析流水线(PE 解析、YARA 扫描、VirusTotal 查询和熵值计算)并发运行。这确保了零 UI 延迟,即使在分析大型可执行文件时也是如此。
- **高级风险评分**:HacksGuard 基于 5 个启发式维度(熵、可疑 API、PE 异常、字符串和加壳)自动计算出 0-100% 的风险评分,并通过交互式雷达图进行精美可视化。
- **集成 YARA 引擎**:由 `boreal` crate 驱动,HacksGuard 能够动态加载本地 YARA 规则(例如 Elastic protections-artifacts)来检测已知威胁、加壳器和规避技术。
- **深度 PE 检查**:全面拆解 PE 格式,包括头信息、节区、导入表(按严重程度分类)、导出表、安全缓解措施(ASLR、DEP、CFG)以及 Authenticode 验证。
- **可视化熵值图表**:专用的“熵”选项卡使用 sparklines 绘制文件的香农熵分布,使分析师能够瞬间目测出加密或加壳的 payload。
- **自动解码字符串**:自动提取并分类字符串(IP、URL、注册表键)。匹配 Base64 字符表的可疑字符串会在界面中直接即时解码。
- **内置反汇编器和 Hex 视图**:通过 `iced-x86` 集成检查入口点处的原始 x86/x64 opcodes,或使用内置的 Hex Dump 查看器深入分析原始字节。
- **附加数据 检测**:自动检测二进制文件末尾附加的隐藏数据,这是 dropper 和恶意安装程序常用的一种技术。
- **CLI 模式 / 兼容 CI-CD**:运行 `hacksguard --json ` 可跳过终端 UI,并将完整的分析报告导出为结构化的 JSON 对象,以便进行 SIEM/SOAR 集成。
## 📦 安装
要使用 VirusTotal 功能,您需要设置 `VT_API_KEY` 环境变量。
### 从源码构建
确保您已安装 Rust 和 Cargo,然后运行:
```
git clone https://github.com/Rhacknarok/hacksguard.git
cd hacksguard
cargo build --release
```
### Nixpkgs
对于 Nix 或 NixOS 用户,Nixpkgs 中提供了一个[软件包](https://search.nixos.org/packages?channel=unstable&from=0&size=50&sort=relevance&type=packages&query=hacksguard)。请记住,最新版本可能仅存在于 ``unstable`` 频道中。
```
$ nix-env -iA nixos.hacksguard
```
编译后的二进制文件将位于 `target/release/hacksguard`。
## 🚀 使用方法
通过提供您要分析的可执行文件的路径来运行 HacksGuard:
```
cargo run --release --
```
### 快捷键
- `Tab` / `右箭头`:下一个标签页
- `Shift+Tab` / `左箭头`:上一个标签页
- `Up` / `Down` / `k` / `j`:滚动
- `PageUp` / `PageDown`:快速滚动
- `q` / `Esc`:退出
## 依赖项
- `ratatui` & `crossterm` - TUI 渲染
- `goblin` - PE/ELF 解析
- `boreal` - 纯 Rust YARA 引擎
- `iced-x86` - 反汇编器
- `reqwest` - VirusTotal API 客户端
## 🔗 相关项目
- [Elastic Protections Artifacts](https://github.com/elastic/protections-artifacts) - YARA 规则
标签:DAST, PE文件解析, Rust, YARA, 云安全监控, 云资产可视化, 云资产清单, 可视化界面, 恶意软件分析, 网络流量审计, 逆向工程, 静态分析