Strelka项目0.25.02.26版本发布：依赖更新与扫描器增强

Strelka是一个开源的恶意文件分析框架，主要用于自动化检测和分析可疑文件。该项目采用模块化设计，支持多种文件格式的深度扫描，广泛应用于网络安全和数字取证领域。

版本核心更新内容

1. 依赖管理与构建优化

本次版本对项目依赖进行了全面升级，重点解决了构建过程中的稳定性问题：

• 明确声明了setuptools依赖项，避免了潜在的包管理冲突
• 将7zip工具升级至24.09版本，提升压缩文件处理能力
• 更新了Mantic软件源列表，确保组件获取渠道的可靠性
• 修复了GitHub Actions构建流程中的引用问题
• 为Docker容器添加了重启策略，保障服务持续可用性

这些改进使得Strelka在各种部署环境下都能获得更稳定的运行表现。

2. 扫描器功能增强

项目对多个核心扫描模块进行了算法优化和功能扩展：

TLSH扫描器(ScanTLSH)

• 改进了差异长度(diffxlen)处理逻辑
• 优化了相似性比对算法，提高了检测准确率

DOCX文档扫描器(ScanDocx)

• 重构了文档分类机制
• 增强了Office文档元数据提取能力
• 改进了文档结构分析算法

ExifTool扫描器(ScanExiftool)

• 优化了元数据提取流程
• 增强了对异常格式的处理能力

3. 新增PyInstaller扫描模块

本次版本引入的全新ScanPyInstaller扫描器专门针对Python打包的可执行文件：

• 可提取PyInstaller打包二进制文件的完整元数据
• 支持分析打包配置参数和嵌入脚本信息
• 提供打包时间、版本等关键识别信息
• 特别适用于恶意软件分析和数字取证场景

该模块的加入显著增强了Strelka对Python相关威胁的检测能力。

技术实现亮点

构建系统改进

项目采用了更稳健的持续集成策略：

• 引入了夜间构建(nightly build)机制
• 优化了Docker Compose的部署配置
• 完善了构建失败时的自动恢复能力

安全增强

通过依赖项更新修复了多个潜在安全漏洞：

• 及时更新了存在风险的第三方库
• 保持与上游安全补丁同步
• 减少了供应链攻击面

应用价值

本次更新使Strelka在以下场景中表现更出色：

• 恶意文档分析：增强的DOCX处理能力可更有效检测Office文档威胁
• 软件供应链安全：PyInstaller扫描支持对Python分发包的深度检查
• 应急响应：改进的TLSH算法加速了相似恶意样本的关联分析
• 自动化检测：稳定的构建系统保障了大规模部署的可靠性

总结

Strelka 0.25.02.26版本通过依赖更新、扫描器优化和新功能引入，显著提升了框架的分析能力和运行稳定性。特别是新增的PyInstaller扫描模块，填补了Python打包程序分析的空白，使该工具在现代化威胁检测体系中更具竞争力。这些改进使得安全团队能够更高效地处理各类可疑文件，快速识别潜在威胁。