Shreyashg07/MalwareScope

GitHub: Shreyashg07/MalwareScope

MalwareScope 是一个 AI 驱动的静态恶意软件分析平台,专注于 Windows PE 文件的自动化拆解与威胁评估。

Stars: 0 | Forks: 0

# 🛡️ MalwareScope ### 驱动的静态恶意软件分析与威胁情报平台
![Python](https://img.shields.io/badge/Python-3776AB?style=flat-square&logo=python&logoColor=white) ![Flask](https://img.shields.io/badge/Flask-000000?style=flat-square&logo=flask&logoColor=white) ![SQLite](https://img.shields.io/badge/SQLite-003B57?style=flat-square&logo=sqlite&logoColor=white) ![YARA](https://img.shields.io/badge/YARA-FF0000?style=flat-square) ![Capstone](https://img.shields.io/badge/Capstone-0052CC?style=flat-square) ![Chart.js](https://img.shields.io/badge/Chart.js-FF6384?style=flat-square&logo=chartdotjs&logoColor=white) ![HTML5](https://img.shields.io/badge/HTML5-E34F26?style=flat-square&logo=html5&logoColor=white) ![CSS3](https://img.shields.io/badge/CSS3-1572B6?style=flat-square&logo=css3&logoColor=white)
![Stars](https://img.shields.io/github/stars/YOUR_USERNAME/YOUR_REPOSITORY?style=flat-square&color=gray) ![Forks](https://img.shields.io/github/forks/YOUR_USERNAME/YOUR_REPOSITORY?style=flat-square&color=gray) ![Issues](https://img.shields.io/github/issues/YOUR_USERNAME/YOUR_REPOSITORY?style=flat-square&color=gray) ![License](https://img.shields.io/github/license/YOUR_USERNAME/YOUR_REPOSITORY?style=flat-square&color=gray)
# 📋 目录 - [概述](#-overview) - [功能](#-features) - [仪表板](#-dashboard) - [技术栈](#-technology-stack) - [安装说明](#-installation) - [配置](#-configuration) - [项目结构](#-project-structure) - [扩展 MalwareScope](#-extending-malwarescope) - [安全设计](#-security-design) - [局限性](#-limitations) - [路线图](#-roadmap) - [许可证](#-license) # 🔍 概述 MalwareScope 是一个 AI 驱动的**静态恶意软件分析平台**,专为网络安全学生、SOC 分析师、恶意软件研究人员和应急响应人员构建。 MalwareScope 无需在沙箱中执行具有潜在危险的恶意软件,而是完全通过静态检查来安全地分析 Windows 可移植可执行 (PE) 文件。 支持的文件: - `.exe` - `.dll` - `.sys` 该平台结合了: - PE 分析 - 字符串提取 - IOC 提取 - 威胁情报 - YARA 扫描 - MITRE ATT&CK 映射 - 风险评分 - AI 生成的调查摘要 在现代 Web 仪表板中提供完整的恶意软件分类处理工作流。 # ✨ 功能 ## 🔐 安全静态分析 - 从不执行上传的恶意软件 - 分析完成后立即删除上传的文件 - 只读解析 - 适用于本地分析环境 ## 🧬 PE 文件分析 提取: - 机器架构 - Entry Point - Image Base - 时间戳 - 编译时间 - Section Table - Import Table - Export Table - Resource Table - TLS Callbacks - Rich Header - Overlay 检测 - Authenticode 签名 - File Alignment - Section Alignment - Entry Point 反汇编 (Capstone) ## 🔑 Hash 生成 自动计算: - MD5 - SHA1 - SHA256 - SHA512 - Import Hash (ImpHash) ## 📊 Section 熵分析 计算每个 PE section 的熵。 突出显示: - 加壳的 section - 加密的 payload - 高熵 shellcode - 可疑的资源 ## 🔍 字符串提取 提取可打印字符串,包括: - URL - 域名 - IP 地址 - 电子邮件地址 - 注册表键 - Windows 路径 - Linux 路径 - DLL 名称 - 可执行文件 - PowerShell 命令 - CMD 命令 - Base64 blobs - Mutex 名称 ## 🎯 IOC 提取 自动构建包含以下内容的 IOC 面板: - 域名 - URL - IPv4 - IPv6 - 注册表键 - 文件路径 - Mutex - 可执行文件 - PowerShell 命令 导出选项: - CSV - STIX 2.1 ## ⚠ 可疑 API 检测 检测分组到行为类别中的 **50 多个 Windows API**。 示例: ### 进程注入 - VirtualAllocEx - WriteProcessMemory - CreateRemoteThread ### 持久化 - RegSetValueEx - CreateService - ShellExecute ### 反调试 - IsDebuggerPresent - CheckRemoteDebuggerPresent ### 加密 - CryptEncrypt - CryptDecrypt ### 网络 - InternetOpen - InternetConnect - HttpSendRequest - WinHttpOpen ### 进程操纵 - CreateProcess - OpenProcess - NtResumeThread ## 🛡 YARA 扫描 使用内置的 YARA 规则扫描上传的恶意软件。 支持: - 多规则 - 自动加载 - 递归规则编译 - 自定义规则 ## 🌐 威胁情报 查询: - MalwareBazaar - ThreatFox - URLhaus - VirusTotal(可选 API) 显示: - 检测计数 - 恶意软件家族 - 供应商检测 - 首次出现 - 最后出现 - 标签 - 威胁评分 ## 🧠 MITRE ATT&CK 映射 将发现映射到 ATT&CK 技术。 包括: - 技术 ID - 技术名称 - ATT&CK 战术 - 热力图可视化 - 严重性指标 映射示例: - T1055 进程注入 - T1105 Ingress Tool Transfer - T1027 混淆文件 - T1059 命令 Shell - T1106 原生 API ## 🤖 AI 调查摘要 自动生成: - 执行摘要 - 风险评估 - 行为分析 - 攻陷指标 - 分析师备注 - 最终结论 支持: - 离线确定性生成 - Gemini API 增强 ## 📈 风险评分 使用以下内容计算从 **0–100** 的恶意软件风险评分: - 熵 - YARA 匹配 - 可疑 API - PE 异常 - 威胁情报 - IOC 密度 显示带动画的仪表板速度表。 ## 📄 PDF 报告生成 生成专业的调查报告,包括: - 文件信息 - Hash - PE 分析 - 熵 - YARA - IOC 列表 - 威胁情报 - MITRE ATT&CK - AI 摘要 - 建议 ## 📂 分析历史记录 将每次完成的分析存储在 SQLite 中。 支持: - 搜索 - 时间戳 - Hash 查找 - 报告重新生成 - 历史审查 ## ⛓ 证据保管链 记录: - 上传 - Hash 生成 - PE 解析 - IOC 提取 - YARA 扫描 - 威胁查找 - 报告生成 提供取证时间线。 # 🖥 仪表板 该平台包括两个界面。 ## 登录页 功能: - 矩阵雨背景 - 动画 Hero - 打字机文本 - 功能卡片 - 响应式设计 ## 仪表板 包括: - 动画引导序列 - 安全上传面板 - 交互式图表 - 速度表仪表 - PE 布局可视化 - 威胁情报卡片 - IOC 表格 - 时间线 - 风险计 # 💻 技术栈 ### 后端 - Python - Flask - SQLite - PEFile - Capstone - YARA - Requests - ReportLab ### 前端 - HTML5 - CSS3 - JavaScript - Chart.js ### 情报来源 - MalwareBazaar - ThreatFox - URLhaus - VirusTotal # ⚙ 安装说明 ## 1. 克隆仓库 ``` git clone https://github.com/YOUR_USERNAME/MalwareScope.git cd MalwareScope ``` ## 2. 创建虚拟环境 ### Linux/macOS ``` python3 -m venv venv source venv/bin/activate ``` ### Windows ``` python -m venv venv venv\Scripts\activate ``` ## 3. 安装依赖项 ``` pip install -r requirements.txt ``` ## 4. 运行应用程序 ``` python app.py ``` 打开: ``` http://localhost:5000 ``` # 🔐 配置 复制: ``` cp .env.example .env ``` 添加您的密钥。 | 变量 | 必需 | 用途 | |------------|-----------|----------| | VT_API_KEY | 可选 | VirusTotal | | GEMINI_API_KEY | 可选 | AI 摘要 | 如果省略: - VirusTotal 面板将被禁用。 - AI 摘要将回退到离线生成。 # 📁 项目结构 ``` MalwareScope/ │ ├── app.py ├── config.py ├── requirements.txt ├── .env.example │ ├── analyzers/ │ ├── hashing.py │ ├── pe_analysis.py │ ├── advanced_pe.py │ ├── pe_layout.py │ ├── strings_extraction.py │ ├── suspicious_api.py │ ├── yara_scanner.py │ ├── threat_intel.py │ ├── ioc_extractor.py │ ├── mitre_mapping.py │ ├── ai_summary.py │ ├── recommendations.py │ ├── pdf_report.py │ ├── history.py │ ├── risk_score.py │ └── chain_of_custody.py │ ├── rules/ │ └── suspicious.yar │ ├── templates/ │ ├── landing.html │ └── index.html │ ├── static/ │ ├── css/ │ ├── js/ │ └── images/ │ ├── uploads/ ├── reports/ ├── data/ │ └── history.db │ └── README.md ``` # 🧩 扩展 MalwareScope ## 添加 YARA 规则 将附加文件放在: ``` rules/ ``` 支持: ``` .yar .yara ``` ## 添加可疑 API 修改: ``` analyzers/suspicious_api.py ``` 更新: ``` SUSPICIOUS_APIS ``` ## 添加 MITRE 技术 修改: ``` API_TECHNIQUE_MAP TECHNIQUE_INFO ``` 在 ``` mitre_mapping.py ``` 内部 ## 添加建议 编辑: ``` generate_recommendations() ``` 在 ``` recommendations.py ``` 内部 ## 扩展 当前存储: ``` SQLite ``` 生产环境建议: - PostgreSQL - Redis - Celery - Gunicorn - Nginx # 🔒 安全设计 MalwareScope 遵循几项安全第一的原则。 ✔ 上传的二进制文件从不被执行。 ✔ 上传的样本在分析完成后立即删除。 ✔ 只读解析。 ✔ 无动态执行。 ✔ 无沙箱逃逸风险。 ✔ 本地处理。 ✔ API 密钥通过环境变量存储。 ✔ SQLite 防止意外的数据暴露。 # ⚠ 局限性 ## 仅限静态分析 无法完全分析加壳或运行时解密的恶意软件。 ## 启发式评分 风险评分仅供参考。 始终建议由人类分析师进行验证。 ## 威胁情报 威胁源仅识别已知样本。 全新的恶意软件可能会返回: ``` Not Found ``` ## 反汇编 Capstone 仅对 entry point 周围可配置的窗口进行反汇编。 它**不是**一个完整的逆向工程框架。 # 🚀 路线图 计划的功能: - 动态沙箱集成 - 内存转储分析 - APK 分析 - ELF 恶意软件分析 - Office 宏分析 - PCAP 分析 - Sigma 规则检测 - Suricata 规则生成 - IOC 共享 - Docker 部署 - REST API - 多用户身份验证 - 深色模式主题 - 使用机器学习进行恶意软件家族分类 # 📜 许可证 该项目基于 MIT 许可证授权。 随时可以自由使用、修改和贡献。
## ⭐ 如果您觉得 MalwareScope 有用,请考虑给它点个 Star! 怀着 ❤️ 为网络安全社区制作。
标签:DAST, Flask, Python, YARA, 云安全监控, 云资产可视化, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 数据可视化, 无后门, 逆向工具, 逆向工程, 静态分析