yosiismalov/Malware-Forensics-Lab

# Malware-Forensics-Lab 使用 VirtualBox、Kali Linux 和 Autopsy 的数字取证与恶意软件分析实验室 # 🕵️ 恶意软件分析实验室 – 取证项目 ## ⚙️ 技术 VirtualBox • Kali Linux • Autopsy • The Sleuth Kit • Windows 10 • 数字取证 ## 📌 概述 本项目演示了使用 **VirtualBox**、**Kali Linux** 和 **Autopsy (The Sleuth Kit)** 的**恶意软件分析与取证调查工作流**。 该实验室的目标是在 Windows 机器上模拟恶意软件感染，捕获其磁盘映像，并执行取证调查以提取证据。 ## 🖥️ 环境设置 - **VirtualBox** – 虚拟化平台 - **Windows 10 虚拟机 (受害者)** – 运行恶意软件样本 (`malware.exe`) - **Kali Linux 虚拟机 (分析师)** – 取证工具、Autopsy、磁盘操作 - **共享存储** – 用于导出虚拟机磁盘映像 (VDI → IMG) ## 🔄 工作流 1. **执行** – 在 Windows 10 虚拟机内运行 `malware.exe`。 2. **磁盘导出** – 使用 `VBoxManage` 将虚拟机的 `.vdi` 磁盘文件转换为 RAW/IMG 格式。 3. **映像分析** – 将 `.img` 文件加载到 Autopsy 中。 4. **取证** – 执行取证分析： - 生成 MD5 校验和以验证完整性 - 提取 ASCII 和 Unicode 字符串 - 搜索关键词 (`admin` 等) - 探索 NTFS 文件系统痕迹 ## 🧪 发现 - 生成了磁盘映像的 **MD5 哈希**，用于证据保管链。 - **关键词搜索**：在 Unicode 字符串中发现了 40 多次 `"admin"`。 - 证据包含部分系统字符串（`system administrator`、`PC-administra` 等），表明存在潜在的用户/管理员账户和权限。 ## 📂 使用的工具 - **VirtualBox** – 虚拟机管理和磁盘导出 - **Kali Linux** – 取证实用工具 (dd、mount、hash tools) - **Autopsy (The Sleuth Kit)** – 用于磁盘映像分析的完整取证套件 ``` flowchart LR A[Windows 10 VM Victim] -->|Execute Malware| B[Disk Export VDI to IMG] B --> C[Kali Linux Analyst VM] C -->|Load Disk Image| D[Autopsy] D -->|Forensic Analysis| E[Evidence and Findings] ``` ## ✅ 关键收获 - 构建了**完整的隔离恶意软件分析实验室** - 应用了**磁盘映像和取证原则** - 使用 **Autopsy** 对受损的 Windows 虚拟机进行了实际调查 - 展示了设置、分析和记录取证过程的能力 ## 🛡️ 展示的技能 - 恶意软件分析 - 数字取证 - 事件响应 - 磁盘映像 - 证据验证 - Windows 痕迹分析 - Linux 管理 - 虚拟化 ## 🔗 参考 - [Autopsy – 数字取证平台](https://www.sleuthkit.org/autopsy/) - [VirtualBox 文档](https://www.virtualbox.org/wiki/Documentation) - [Kali Linux 工具](https://www.kali.org/tools/) ## ⚠️ 免责声明 本项目仅供教育和授权的网络安全研究目的使用。

标签：Autopsy, DAST, HTTP工具, MD5, NTFS文件系统分析, The Sleuth Kit, VDI转IMG, VirtualBox, Windows 10, 内存与磁盘镜像分析, 哈希校验, 域渗透, 域环境安全, 字符串提取, 安全实验环境, 恶意软件分析, 数字取证, 无线安全, 电子数据取证, 磁盘取证, 红队与蓝队, 网络安全实验, 网络安全课程设计, 自动化脚本, 虚拟化安全, 逆向分析