Shreyashg07/MalwareScope
GitHub: Shreyashg07/MalwareScope
MalwareScope 是一个 AI 驱动的静态恶意软件分析平台,专注于 Windows PE 文件的自动化拆解与威胁评估。
Stars: 0 | Forks: 0
# 🛡️ MalwareScope
### 驱动的静态恶意软件分析与威胁情报平台
       
   
# 📋 目录
- [概述](#-overview)
- [功能](#-features)
- [仪表板](#-dashboard)
- [技术栈](#-technology-stack)
- [安装说明](#-installation)
- [配置](#-configuration)
- [项目结构](#-project-structure)
- [扩展 MalwareScope](#-extending-malwarescope)
- [安全设计](#-security-design)
- [局限性](#-limitations)
- [路线图](#-roadmap)
- [许可证](#-license)
# 🔍 概述
MalwareScope 是一个 AI 驱动的**静态恶意软件分析平台**,专为网络安全学生、SOC 分析师、恶意软件研究人员和应急响应人员构建。
MalwareScope 无需在沙箱中执行具有潜在危险的恶意软件,而是完全通过静态检查来安全地分析 Windows 可移植可执行 (PE) 文件。
支持的文件:
- `.exe`
- `.dll`
- `.sys`
该平台结合了:
- PE 分析
- 字符串提取
- IOC 提取
- 威胁情报
- YARA 扫描
- MITRE ATT&CK 映射
- 风险评分
- AI 生成的调查摘要
在现代 Web 仪表板中提供完整的恶意软件分类处理工作流。
# ✨ 功能
## 🔐 安全静态分析
- 从不执行上传的恶意软件
- 分析完成后立即删除上传的文件
- 只读解析
- 适用于本地分析环境
## 🧬 PE 文件分析
提取:
- 机器架构
- Entry Point
- Image Base
- 时间戳
- 编译时间
- Section Table
- Import Table
- Export Table
- Resource Table
- TLS Callbacks
- Rich Header
- Overlay 检测
- Authenticode 签名
- File Alignment
- Section Alignment
- Entry Point 反汇编 (Capstone)
## 🔑 Hash 生成
自动计算:
- MD5
- SHA1
- SHA256
- SHA512
- Import Hash (ImpHash)
## 📊 Section 熵分析
计算每个 PE section 的熵。
突出显示:
- 加壳的 section
- 加密的 payload
- 高熵 shellcode
- 可疑的资源
## 🔍 字符串提取
提取可打印字符串,包括:
- URL
- 域名
- IP 地址
- 电子邮件地址
- 注册表键
- Windows 路径
- Linux 路径
- DLL 名称
- 可执行文件
- PowerShell 命令
- CMD 命令
- Base64 blobs
- Mutex 名称
## 🎯 IOC 提取
自动构建包含以下内容的 IOC 面板:
- 域名
- URL
- IPv4
- IPv6
- 注册表键
- 文件路径
- Mutex
- 可执行文件
- PowerShell 命令
导出选项:
- CSV
- STIX 2.1
## ⚠ 可疑 API 检测
检测分组到行为类别中的 **50 多个 Windows API**。
示例:
### 进程注入
- VirtualAllocEx
- WriteProcessMemory
- CreateRemoteThread
### 持久化
- RegSetValueEx
- CreateService
- ShellExecute
### 反调试
- IsDebuggerPresent
- CheckRemoteDebuggerPresent
### 加密
- CryptEncrypt
- CryptDecrypt
### 网络
- InternetOpen
- InternetConnect
- HttpSendRequest
- WinHttpOpen
### 进程操纵
- CreateProcess
- OpenProcess
- NtResumeThread
## 🛡 YARA 扫描
使用内置的 YARA 规则扫描上传的恶意软件。
支持:
- 多规则
- 自动加载
- 递归规则编译
- 自定义规则
## 🌐 威胁情报
查询:
- MalwareBazaar
- ThreatFox
- URLhaus
- VirusTotal(可选 API)
显示:
- 检测计数
- 恶意软件家族
- 供应商检测
- 首次出现
- 最后出现
- 标签
- 威胁评分
## 🧠 MITRE ATT&CK 映射
将发现映射到 ATT&CK 技术。
包括:
- 技术 ID
- 技术名称
- ATT&CK 战术
- 热力图可视化
- 严重性指标
映射示例:
- T1055 进程注入
- T1105 Ingress Tool Transfer
- T1027 混淆文件
- T1059 命令 Shell
- T1106 原生 API
## 🤖 AI 调查摘要
自动生成:
- 执行摘要
- 风险评估
- 行为分析
- 攻陷指标
- 分析师备注
- 最终结论
支持:
- 离线确定性生成
- Gemini API 增强
## 📈 风险评分
使用以下内容计算从 **0–100** 的恶意软件风险评分:
- 熵
- YARA 匹配
- 可疑 API
- PE 异常
- 威胁情报
- IOC 密度
显示带动画的仪表板速度表。
## 📄 PDF 报告生成
生成专业的调查报告,包括:
- 文件信息
- Hash
- PE 分析
- 熵
- YARA
- IOC 列表
- 威胁情报
- MITRE ATT&CK
- AI 摘要
- 建议
## 📂 分析历史记录
将每次完成的分析存储在 SQLite 中。
支持:
- 搜索
- 时间戳
- Hash 查找
- 报告重新生成
- 历史审查
## ⛓ 证据保管链
记录:
- 上传
- Hash 生成
- PE 解析
- IOC 提取
- YARA 扫描
- 威胁查找
- 报告生成
提供取证时间线。
# 🖥 仪表板
该平台包括两个界面。
## 登录页
功能:
- 矩阵雨背景
- 动画 Hero
- 打字机文本
- 功能卡片
- 响应式设计
## 仪表板
包括:
- 动画引导序列
- 安全上传面板
- 交互式图表
- 速度表仪表
- PE 布局可视化
- 威胁情报卡片
- IOC 表格
- 时间线
- 风险计
# 💻 技术栈
### 后端
- Python
- Flask
- SQLite
- PEFile
- Capstone
- YARA
- Requests
- ReportLab
### 前端
- HTML5
- CSS3
- JavaScript
- Chart.js
### 情报来源
- MalwareBazaar
- ThreatFox
- URLhaus
- VirusTotal
# ⚙ 安装说明
## 1. 克隆仓库
```
git clone https://github.com/YOUR_USERNAME/MalwareScope.git
cd MalwareScope
```
## 2. 创建虚拟环境
### Linux/macOS
```
python3 -m venv venv
source venv/bin/activate
```
### Windows
```
python -m venv venv
venv\Scripts\activate
```
## 3. 安装依赖项
```
pip install -r requirements.txt
```
## 4. 运行应用程序
```
python app.py
```
打开:
```
http://localhost:5000
```
# 🔐 配置
复制:
```
cp .env.example .env
```
添加您的密钥。
| 变量 | 必需 | 用途 |
|------------|-----------|----------|
| VT_API_KEY | 可选 | VirusTotal |
| GEMINI_API_KEY | 可选 | AI 摘要 |
如果省略:
- VirusTotal 面板将被禁用。
- AI 摘要将回退到离线生成。
# 📁 项目结构
```
MalwareScope/
│
├── app.py
├── config.py
├── requirements.txt
├── .env.example
│
├── analyzers/
│ ├── hashing.py
│ ├── pe_analysis.py
│ ├── advanced_pe.py
│ ├── pe_layout.py
│ ├── strings_extraction.py
│ ├── suspicious_api.py
│ ├── yara_scanner.py
│ ├── threat_intel.py
│ ├── ioc_extractor.py
│ ├── mitre_mapping.py
│ ├── ai_summary.py
│ ├── recommendations.py
│ ├── pdf_report.py
│ ├── history.py
│ ├── risk_score.py
│ └── chain_of_custody.py
│
├── rules/
│ └── suspicious.yar
│
├── templates/
│ ├── landing.html
│ └── index.html
│
├── static/
│ ├── css/
│ ├── js/
│ └── images/
│
├── uploads/
├── reports/
├── data/
│ └── history.db
│
└── README.md
```
# 🧩 扩展 MalwareScope
## 添加 YARA 规则
将附加文件放在:
```
rules/
```
支持:
```
.yar
.yara
```
## 添加可疑 API
修改:
```
analyzers/suspicious_api.py
```
更新:
```
SUSPICIOUS_APIS
```
## 添加 MITRE 技术
修改:
```
API_TECHNIQUE_MAP
TECHNIQUE_INFO
```
在
```
mitre_mapping.py
```
内部
## 添加建议
编辑:
```
generate_recommendations()
```
在
```
recommendations.py
```
内部
## 扩展
当前存储:
```
SQLite
```
生产环境建议:
- PostgreSQL
- Redis
- Celery
- Gunicorn
- Nginx
# 🔒 安全设计
MalwareScope 遵循几项安全第一的原则。
✔ 上传的二进制文件从不被执行。
✔ 上传的样本在分析完成后立即删除。
✔ 只读解析。
✔ 无动态执行。
✔ 无沙箱逃逸风险。
✔ 本地处理。
✔ API 密钥通过环境变量存储。
✔ SQLite 防止意外的数据暴露。
# ⚠ 局限性
## 仅限静态分析
无法完全分析加壳或运行时解密的恶意软件。
## 启发式评分
风险评分仅供参考。
始终建议由人类分析师进行验证。
## 威胁情报
威胁源仅识别已知样本。
全新的恶意软件可能会返回:
```
Not Found
```
## 反汇编
Capstone 仅对 entry point 周围可配置的窗口进行反汇编。
它**不是**一个完整的逆向工程框架。
# 🚀 路线图
计划的功能:
- 动态沙箱集成
- 内存转储分析
- APK 分析
- ELF 恶意软件分析
- Office 宏分析
- PCAP 分析
- Sigma 规则检测
- Suricata 规则生成
- IOC 共享
- Docker 部署
- REST API
- 多用户身份验证
- 深色模式主题
- 使用机器学习进行恶意软件家族分类
# 📜 许可证
该项目基于 MIT 许可证授权。
随时可以自由使用、修改和贡献。
       
   
## ⭐ 如果您觉得 MalwareScope 有用,请考虑给它点个 Star!
怀着 ❤️ 为网络安全社区制作。
标签:DAST, Flask, Python, YARA, 云安全监控, 云资产可视化, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 数据可视化, 无后门, 逆向工具, 逆向工程, 静态分析