wislest/sandbox-malware-analyzer

GitHub: wislest/sandbox-malware-analyzer

基于 Windows Sandbox 的自动化恶意软件分析工具，在一次性隔离环境中完成样本行为捕获、IOC 提取和报告生成。

Stars: 0 | Forks: 0

# 🧪 Sandbox 恶意软件分析器 ![PowerShell](https://img.shields.io/badge/PowerShell-5391FE?logo=powershell&logoColor=white) ![平台](https://img.shields.io/badge/platform-Windows%2010%20%2F%2011-0078D6?logo=windows&logoColor=white) ![Windows Sandbox](https://img.shields.io/badge/Windows%20Sandbox-disposable%20VM-2ea44f) ![关注点](https://img.shields.io/badge/focus-malware%20analysis%20%7C%20IOC%20extraction-8957e5) ![YARA](https://img.shields.io/badge/YARA-scanning-orange) ![防御性](https://img.shields.io/badge/use-defensive%20%2F%20research-informational) ## ✨ 特性 - **多格式分类** — 可执行文件、Office 文档、PDF、脚本、电子邮件 (`.eml`)、URL/域名和文件哈希。 - **行为捕获** — 在样本执行期间捕获进程、网络、文件系统和注册表活动。 - **IOC 提取与丰富** — 提取哈希、URL、IP 和嵌入对象，并可选进行外部威胁情报验证。 - **内置 YARA 扫描**，用于基于签名的分类。 - **自动化报告** — 生成人类可读的 **HTML** + 机器可读的 **JSON**。 - **安全设计** — 每次运行使用全新的 Windows Sandbox，样本共享为只读，工具即时获取，**主机零残留**。 ## 🧩 工作原理 ``` sample ──► deploy_master_complete.ps1 ──► fresh Windows Sandbox │ read-only input C:\Sandbox\Input ▼ per-type analyzer (exe / doc / pdf / eml / url / yara) + behavioral monitor + IOC extractor + TI validator ▼ HTML + JSON report C:\Sandbox\Output ──► sandbox discarded ``` ## 🚀 快速开始 **前置条件：** Windows 10/11 专业版或企业版，已启用 **Windows Sandbox**，PowerShell 5.1+，管理员权限。 ``` # 1) 启用 Windows Sandbox（一次性，提权 PowerShell） Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online -All # （如果提示则重启） # 2) 配置实验室 .\deploy_master_complete.ps1 # 3) 分析样本（先将其放入 C:\Sandbox\Input） .\scripts\analyze_exe.ps1 -FilePath C:\Sandbox\Input\suspicious.exe .\scripts\analyze_doc.ps1 -FilePath C:\Sandbox\Input\invoice.docm .\scripts\analyze_pdf.ps1 -FilePath C:\Sandbox\Input\statement.pdf .\scripts\analyze_yara.ps1 -TargetFile C:\Sandbox\Input\sample.bin ``` 报告将以 **HTML + JSON** 格式写入 `C:\Sandbox\Output` 目录。请参阅 **[QUICK_START.md](QUICK_START.md)** 了解完整流程，以及 **[GUIDE_TESTS_VALIDATION.md](GUIDE_TESTS_VALIDATION.md)** 了解验证测试。 ## 📂 仓库结构 | 路径 | 用途 | |------|---------| | `deploy_master_complete.ps1` | **入口点** — 配置 sandbox 和文件夹 | | `scripts/analyze_*.ps1` | 针对不同类型的分析器：`exe`, `doc`, `pdf`, `eml`, `url`, `yara` | | `scripts/comprehensive_ioc_extractor.ps1` | IOC 提取（哈希、URL、IP、嵌入对象） | | `scripts/behavioral_monitor.ps1` | 运行时进程 / 网络 / 文件活动捕获 | | `scripts/external_threat_intel_validator.ps1` | 可选的威胁情报丰富 | | `SafeScope_MasterComplete.wsb`, `SandboxAnalyzer.wsb` | Windows Sandbox 配置文件 | | `QUICK_START.md`, `GUIDE_TESTS_VALIDATION.md` | 使用和验证指南 | | `legacy/` | 较早的部署迭代（存档以供参考） | ## 🔐 安全说明 - 样本以**只读**方式挂载，并且 sandbox 在**每次运行后都会被销毁** — 主机上不会保留任何恶意软件或工具。 - **本仓库中不存储任何凭证。** 在运行时通过配置器提供任何 API 密钥（例如威胁情报）；切勿将其提交到代码库。 ## ⚠️ 免责声明仅供**授权的、防御性的恶意软件分析和研究使用。** 仅在隔离环境中引爆真实恶意软件，并遵守您所在组织的政策和适用法律。

标签：AI合规, DAST, IPv6, Libemu, PowerShell, Windows沙箱, YARA, 云资产可视化, 威胁情报, 安全工具, 安全防御工具, 开发者工具, 恶意软件分析, 搜索语句（dork）, 网络信息收集, 自动化沙箱