qeeqbox/analyzer

GitHub: qeeqbox/analyzer

一款离线多平台恶意软件与文件分析工具，支持自动提取 IoC、特征可视化及 MITRE ATT&CK 映射。

Stars: 310 | Forks: 66

该项目自动执行威胁情报分析员的日常任务，在**内部**进行，无需与外部资源交互。它通过使用不同模块提取特征、Artifacts 和 IoC，对**敏感**文件（Malware）或数据进行分析、可视化及结构化处理。这些模块的输出可以轻松集成到您的研究或 SOC 平台中。 ## 安装 ```git clone https://github.com/qeeqbox/analyzer.git && cd analyzer && chmod +x run.sh && ./run.sh auto_configure``` ## 界面

## 输出 - [APT-Malware JSON\HTML 报告 (+190 样本)](https://files.qeeqbox.com/set1/) ## 功能特性 - 本地运行（离线） - 分析缓冲区、文件或完整文件夹 - 实时分析（保存会话） - 2 种模式（交互模式和静默模式） - 生成 HTML 或 JSON 作为输出 - 将详细信息的输出文件转储到 mongodb - 将原始 JSON 结果保存到 mongodb - 基本文件信息 MD5、charset、mime、ssdeep - 不同的字符串/模式分析方法 - Web 服务和 API - 端口、IPS 提示和国家描述 - 世界 IPS 世界图像和旗帜 - Artifacts 力导向图 - 交叉引用力导向图和表格 - 划分为类别的相似性图像 - YARA 模块，以及来自 yara-rules-github 的 YARA 规则） - YARA 模块包含按索引的条件和标签 - 已实施白名单（Windows7、8 和 10 文件） - 检查 WAF 和绕过代理 - 拼写和标点符号检查 - 包含热门网络钓鱼词汇 - Snort 支持 - PDF、RTF、网络钓鱼、MS Office 和 HTML 模块 - 英语单词检测（NL） - OCR 单词检测 - 网站相似度检测（前 10000 名） - BOM（字节顺序标记）检测 - MITRE att&ck 工具和模式检测（可能存在 FP） - 短网址提取 - 从 UNICODE 中提取 ASCII - 免费/虚假电子邮件提取 - URL、EMAIL 和 TEL 标签模式提取 - 信用卡、凭证和机密模式提取 - 加密模式（base64, md5, sha1..）提取 - DGA（域名生成算法）模式提取 ## 模块 - Linux 包装器 - ELF 信息、API 函数描述、系统命令描述、节描述、库描述、加密节检测、符号提取、映射到检测的 MITRE artifacts、交叉引用检测、行为检测 - Windows 包装器 - PE 信息、加密节检测、节描述、DLL 描述、符号提取、签名提取和验证、API 描述、PE ASLR、DEP、SEH 和 CFG 检测、映射到检测的 MITRE artifacts、API 行为检测、DLL 注入、Process Hollowing、Process Doppelganging 等、交叉引用检测、图标提取、提取字符串文件信息、FileDescription、FileDescription 等。 - Android 包装器 - APK 信息、DEX 信息、Manifest 描述、Intent 描述、资源提取、符号提取、类提取、大函数识别、交叉引用检测、API 行为检测 - IPhone 内置 - IPA 信息 - BlackBerry COD 内置 - COD 信息、函数提取、字符串提取 - PCAP 包装器 - 帧过滤、HTTP 过滤、DNS 过滤、ARP 过滤、WAF 检测、DGA 检测、Snort 解析 - PDF 内置 - 对象枚举、键、javascript、js、OpenAction、提取、流解析、字符串分析 - Office 内置和包装器 - 元信息提取、超链接和目标链接提取、二进制可打印解析器、提取文本、提取 DDE、宏提取 - OLE 包装器 - 对象数量、对象提取、宏提取 - EMAIL 内置和包装器 - 标题信息、附件提取和解析、提取正文、网络钓鱼模式检查 - 归档包装器 - 提取 mime 并按扩展名猜测、在所有解压文件中查找模式、加密归档检测 - HTML 包装器 - 提取脚本、iframe、链接和表单、解码/分析链接、脚本熵 - 一些模式 - AWS Clint ID、Amazon MWS Auth Token、Amazon S3、ALIYUN OSS、AZURE Storage、Facebook Access Token、Github Token、Goole API Key、Google CAPTCHA、Google OAuth、Google Secret、Google OAuth Access Token、Mailgun API Key、MailChimp API、Picatic API、Slack Token、Square Access Token、Square OAuth Secret、Stripe API、Twilio API、Twilio SID ## 一键自动配置 ``` git clone https://github.com/qeeqbox/analyzer.git cd analyzer chmod +x run.sh ./run.sh auto_configure The project interface http://127.0.0.1:8000/login/ will open automatically after finishing the initialization process ``` ## 或者，如果您已经有 docker-compose ``` docker-compose -f docker-compose-dev.yml up --build Then open http://127.0.0.1:8000/login/ ``` ## 先决条件 apt-get install -y python3 python3-pip curl libfuzzy-dev yara libmagic-dev libjansson-dev libssl-dev libffi-dev tesseract-ocr libtesseract-dev libssl-dev swig p7zip-full radare2 dmg2img mongodb redis pip3 install pyelftools macholib python-magic nltk Pillow jinja2 ssdeep pefile scapy r2pipe pytesseract M2Crypto requests tld tldextract bs4 psutil pymongo flask pyOpenSSL oletools extract_msg 某些模块需要先决条件包（如果您在使用这些包时遇到问题，我可以与您分享我过去用 C#\C 开发的自己的替代方案） ## 路线图 - Java 分析（用户请求） - Web 检测 - 为数据库添加用户名和密码包装器 - CSS 清理 ## 资源 Linux 文档、MacOS 文档、Windows 文档、Android 文档、software77、MITRE ATT&CK™、sc0ty、hexacorn、PEID、steren、bacde、cisco umbrella、yara rules community、大量研究 ## 其他许可证使用此框架，即表示您接受所有这些软件包的许可条款：yara、Yara-Rules、tesseract-ocr、swig、radare、vu1tur、oletools、mongodb、supervisor、msg-extractor、snort、pyelftools、macholib、pefile、scapy、python-magic、flask、werkzeug、gunicorn、flask-mongoengine、flask-admin、flask-login、flask-bcrypt、pyopenssl、flask-markdown、tld、psutil、gevent、dateutil、requests、pymongo、BeautifulSoup、tldextract、m2crypto、radare2、ssdeep、jinja2、Pillow、nltk、p7zip、redislabs、redis-py ## 免责声明/说明 - 请勿在未正确配置的情况下部署 - 设置一些安全组规则并移除默认凭证 - 本项目不是反恶意软件项目，不会隔离或删除恶意文件 - 开发此项目是为了在本地分析机密数据并训练某些 AI，无需互联网/外部交互 - 如果我遗漏了资源或依赖项，请告诉我 ## 其他项目 [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/9f7f64bc36123626.png)](https://github.com/qeeqbox/social-analyzer) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/4598e617c2123627.png)](https://github.com/qeeqbox/chameleon) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/09216b3f19123628.png)](https://github.com/qeeqbox/honeypots) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/7339d1b602123630.png)](https://github.com/qeeqbox/osint) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/1f7a3525e6123631.png)](https://github.com/qeeqbox/url-sandbox) [![](https://github.com/qeeqbox/.github/blob/main/data/mitre-visualizer.png)](https://github.com/qeeqbox/mitre-visualizer) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/08fa640c3e123702.png)](https://github.com/qeeqbox/woodpecker) [![](https://github.com/qeeqbox/.github/blob/main/data/docker-images.png)](https://github.com/qeeqbox/docker-images) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/dd5da2ffd1123733.png)](https://github.com/qeeqbox/seahorse) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/3b6df60df8123735.png)](https://github.com/qeeqbox/rhino) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/544d50bc81123736.png)](https://github.com/qeeqbox/raven) [![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/ae5953eb13123738.png)](https://github.com/qeeqbox/image-analyzer)

标签：APT分析, DAST, IoC提取, Mutation, SecList, YARA, 云安全监控, 云资产可视化, 云资产清单, 内存取证, 可视化, 威胁情报, 开发者工具, 恶意文件检测, 恶意软件分析, 搜索引擎查询, 文件分析, 沙箱, 特征提取, 网络安全, 自动化分析, 请求拦截, 跨站脚本, 逆向工程, 隐私保护, 静态分析