packing-box/reminder

GitHub: packing-box/reminder

基于熵值启发式算法的轻量级加壳检测工具,通过分析入口点节的可写性和熵值来快速判断可执行文件是否被加壳。

Stars: 2 | Forks: 0

REMINDer Tweet

Detect packers on executable files using a simple entropy-based heuristic.

[![PyPi](https://img.shields.io/pypi/v/reminder-detector.svg)](https://pypi.python.org/pypi/reminder-detector/) [![Python Versions](https://img.shields.io/pypi/pyversions/reminder-detector.svg)](https://pypi.python.org/pypi/reminder-detector/) [![Build Status](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/aebe5cf8f6090902.svg)](https://github.com/packing-box/reminder/actions/workflows/python-package.yml) [![License](https://img.shields.io/pypi/l/reminder-detector.svg)](https://pypi.python.org/pypi/reminder-detector/) REMINDer (REsponse tool for Malware INDication) 是基于[这篇论文](https://ieeexplore.ieee.org/document/5404211) 的实现,封装为一个 Python 包,并提供控制台脚本,利用简单的启发式方法检测可执行文件是否被加壳。 使用 [lief](https://github.com/lief-project/LIEF) 进行二进制解析。 ``` $ pip install reminder-detector ``` ``` $ reminder --help [...] usage examples: - reminder program.exe - reminder /bin/ls --entropy-threshold 6.9 ``` ## :bulb: 检测机制 1. 找到 EP 节 (Entry Point section) 2. 检查该节是否可写 3. 如果是,检查熵值是否超过阈值(取决于可执行文件格式) 4. 如果是,则输入的可执行文件被加壳;否则未被加壳 ## :star: 相关项目 你可能也会喜欢这些: - [Awesome Executable Packing](https://github.com/packing-box/awesome-executable-packing):与可执行文件加壳相关的精选资源列表。 - [Bintropy](https://github.com/packing-box/bintropy):用于估算二进制文件包含压缩或加密字节可能性的分析工具(灵感源自[这篇论文](https://ieeexplore.ieee.org/document/4140989))。 - [Dataset of packed ELF files](https://github.com/packing-box/dataset-packed-elf):使用多种不同加壳工具打包的 ELF 样本数据集。 - [Dataset of packed PE files](https://github.com/packing-box/dataset-packed-pe):使用多种不同加壳工具打包的 PE 样本数据集([此仓库](https://github.com/chesvectain/PackingData)的分支)。 - [Docker Packing Box](https://github.com/packing-box/docker-packing-box):收集了加壳工具和相关工具的 Docker 镜像,用于制作加壳可执行文件数据集。 - [DSFF](https://github.com/packing-box/python-dsff):实现数据集文件格式 (DSFF) 的库。 - [PEiD](https://github.com/packing-box/peid):著名的加壳可执行文件标识符 ([PEiD](https://www.aldeid.com/wiki/PEiD)) 的 Python 实现。 - [PyPackerDetect](https://github.com/packing-box/pypackerdetect):PE 文件的加壳检测工具([此仓库](https://github.com/cylance/PyPackerDetect)的分支)。 ## :clap: 支持者 [![Stargazers repo roster for @packing-box/REMINDer](https://reporoster.com/stars/dark/packing-box/REMINDer)](https://github.com/packing-box/REMINDer/stargazers) [![Forkers repo roster for @packing-box/REMINDer](https://reporoster.com/forks/dark/packing-box/REMINDer)](https://github.com/packing-box/REMINDer/network/members)

Back to top

标签:DAST, DNS 反向解析, LIEF, PE文件分析, Python安全工具, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 加壳检测, 可执行文件, 启发式检测, 恶意软件分析, 数字取证, 熵值计算, 网络安全, 自动化脚本, 逆向工具, 逆向工程, 隐私保护, 静态分析