spiderxploit/malalyzer
GitHub: spiderxploit/malalyzer
C 语言实现的恶意软件逆向工程工具包,提供 PE/ELF 解析、进程内存 dump、熵分析、shellcode 解码、API hook 检测和 YARA 扫描等功能,帮助分析师快速完成样本初步分析。
Stars: 1 | Forks: 0
# MALALYZER
恶意软件分析工具包 —— 专为恶意软件分析师打造的反向工程实用工具。
## 功能
| 命令 | 描述 |
|---|---|
| `pe` | 解析 PE 结构(headers、sections、imports、exports、异常扫描) |
| `elf` | 解析 ELF 结构(headers、segments、sections、symbol tables) |
| `dump` | Dump 进程内存区域并进行熵分析 |
| `strings` | 提取 ASCII/wide 字符串,支持 Shannon 熵过滤 |
| `hash` | 计算 MD5、SHA1、SHA256 及文件熵 |
| `hooks` | 检测 PE 文件中的 IAT 和 inline API hooks |
| `yara` | 使用 YARA 规则扫描文件(需要 libyara-dev) |
| `decode` | 解码 shellcode —— 单字节/多字节 XOR、ROL/ROR、ADD/SUB |
| `xorsearch` | 通过 Hamming 距离和频率分析检测 XOR 密钥 |
## 安装说明
```
git clone https://github.com/spiderxploit/malalyzer
```
## 设置
```
cd malalyzer
```
## 编译说明
```
gcc -O2 -Wall -Wextra -o malalyzer malalyzer.c -lcrypto -lm
```
开启 YARA 支持:
```
gcc -O2 -Wall -Wextra -o malalyzer malalyzer.c -lcrypto -lm -lyara -DYARA_ENABLED
```
## 使用说明
```
./malalyzer -h
```
### 示例
解析 PE 文件:
```
./malalyzer pe sample.exe
```
提取高熵字符串:
```
./malalyzer strings -e 5.5 sample.bin
```
计算文件哈希:
```
./malalyzer hash malware.exe
```
解码 shellcode:
```
./malalyzer decode shellcode.bin
```
搜索 XOR 编码的内容:
```
./malalyzer xorsearch -k 4 encrypted.bin
```
Dump 进程内存:
```
./malalyzer dump 1337
```
检测 API hooks:
```
./malalyzer hooks sample.exe
```
## 依赖项
- **OpenSSL** (`libcrypto`) — 哈希计算所必需
- **YARA** (`libyara-dev`) — 可选,用于 YARA 扫描
- **math library** (`-lm`) — 用于熵计算
## 许可证
MIT
标签:DAST, DNS 反向解析, ELF解析, PE解析, YARA, 云安全监控, 云资产可视化, 云资产清单, 客户端加密, 恶意软件分析, 逆向工程, 静态分析