spiderxploit/malalyzer

GitHub: spiderxploit/malalyzer

C 语言实现的恶意软件逆向工程工具包,提供 PE/ELF 解析、进程内存 dump、熵分析、shellcode 解码、API hook 检测和 YARA 扫描等功能,帮助分析师快速完成样本初步分析。

Stars: 1 | Forks: 0

# MALALYZER 恶意软件分析工具包 —— 专为恶意软件分析师打造的反向工程实用工具。 ## 功能 | 命令 | 描述 | |---|---| | `pe` | 解析 PE 结构(headers、sections、imports、exports、异常扫描) | | `elf` | 解析 ELF 结构(headers、segments、sections、symbol tables) | | `dump` | Dump 进程内存区域并进行熵分析 | | `strings` | 提取 ASCII/wide 字符串,支持 Shannon 熵过滤 | | `hash` | 计算 MD5、SHA1、SHA256 及文件熵 | | `hooks` | 检测 PE 文件中的 IAT 和 inline API hooks | | `yara` | 使用 YARA 规则扫描文件(需要 libyara-dev) | | `decode` | 解码 shellcode —— 单字节/多字节 XOR、ROL/ROR、ADD/SUB | | `xorsearch` | 通过 Hamming 距离和频率分析检测 XOR 密钥 | ## 安装说明 ``` git clone https://github.com/spiderxploit/malalyzer ``` ## 设置 ``` cd malalyzer ``` ## 编译说明 ``` gcc -O2 -Wall -Wextra -o malalyzer malalyzer.c -lcrypto -lm ``` 开启 YARA 支持: ``` gcc -O2 -Wall -Wextra -o malalyzer malalyzer.c -lcrypto -lm -lyara -DYARA_ENABLED ``` ## 使用说明 ``` ./malalyzer -h ``` ### 示例 解析 PE 文件: ``` ./malalyzer pe sample.exe ``` 提取高熵字符串: ``` ./malalyzer strings -e 5.5 sample.bin ``` 计算文件哈希: ``` ./malalyzer hash malware.exe ``` 解码 shellcode: ``` ./malalyzer decode shellcode.bin ``` 搜索 XOR 编码的内容: ``` ./malalyzer xorsearch -k 4 encrypted.bin ``` Dump 进程内存: ``` ./malalyzer dump 1337 ``` 检测 API hooks: ``` ./malalyzer hooks sample.exe ``` ## 依赖项 - **OpenSSL** (`libcrypto`) — 哈希计算所必需 - **YARA** (`libyara-dev`) — 可选,用于 YARA 扫描 - **math library** (`-lm`) — 用于熵计算 ## 许可证 MIT
标签:DAST, DNS 反向解析, ELF解析, PE解析, YARA, 云安全监控, 云资产可视化, 云资产清单, 客户端加密, 恶意软件分析, 逆向工程, 静态分析