cybersecurity-dev/awesome-static-windows-malware-analysis
GitHub: cybersecurity-dev/awesome-static-windows-malware-analysis
一个系统整理 Windows 静态恶意软件分析方法论与工具的 Awesome 资源清单,涵盖哈希校验、字符串提取和加壳检测等关键步骤。
Stars: 2 | Forks: 0
# **`Awesome`** Windows 静态恶意软件分析 [](https://awesome.re)
[](https://8ksec.io/dissecting-windows-malware-series-beginner-to-advanced-part-1)
[](https://youtube.com/playlist?list=PL9V4Zu3RroiXTBfQh2LXJBY9QZLUWZ8xT&si=9DmdVKRdUirojPfM)
[]()
## 📖 目录
## 1. 步骤 `使用反恶意软件扫描`
```
Get-FileHash -Path "C:\path\to\your\file.exe" -Algorithm MD5
Get-FileHash -Path "C:\path\to\your\file.exe" -Algorithm SHA256
Get-FileHash -Path "C:\path\to\your\file.exe" -Algorithm SHA1
```
## 2. 步骤 `提取字符串`
```
strings -n 4 C:\path\to\your\file.exe
```
- n 4 = 最小字符串长度
- Sysinternals 的 `strings` 支持 ASCII + Unicode 搜索
| 类别 | 示例 | 揭示的信息 |
|----------------------|-----------------------------------------------|----------------------------------------------|
| 网络指标 | URL、IP 地址、域名 | 命令与控制 (C2) 服务器、数据外泄目标 |
| 文件系统活动 | 文件路径、文件名、临时目录 | 释放的文件、持久化位置 |
| 注册表项 | HKCU\Software\...\Run | 自动启动和持久化机制 |
| 命令执行 | cmd.exe、powershell、net user | 可执行文件执行的操作 |
| API 函数 | CreateFile、VirtualAlloc、WinExec | 功能(文件 I/O、内存、执行) |
| 错误/调试信息 | "Failed to connect"、"Injection successful" | 执行流程、开发者意图 |
| 凭据/密钥 | 密码、加密密钥、token | 身份验证或加密机制 |
| 恶意软件标识符 | 互斥锁名称、活动 ID、版本字符串 | 恶意软件家族分类与追踪 |
## 3. 步骤 `检测加壳和混淆的恶意软件`
## 4.
### 我的其他 Awesome 清单
你可以访问我的其他 awesome 清单[这里](https://cyberthreatdefence.com/my_awesome_lists)
### 贡献
[欢迎任何形式的贡献,只需遵循指南](contributing.md)!
### 贡献者
[感谢这些贡献者](https://github.com/cybersecurity-dev/awesome-static-android-malware-analysis/graphs/contributors)!
[🔼 回到顶部](#awesome-static-android-malware-analysis-)
标签:AI合规, DAST, 云安全监控, 云资产清单, 威胁情报, 学习资源, 安全, 开发者工具, 恶意软件分析, 超时处理, 逆向工程, 静态分析