soleil-cordray/malware-behavior-comparison

# 恶意软件行为对比 ### 远程访问木马 · 无文件 · 无基础软件 使用 Ghidra、MITRE ATT&CK 映射和 IOC 提取，对三种恶意软件类别进行静态分析和行为分类。 📄 [阅读报告](./Malware_Analysis_Report.pdf) ## 概述 本项目比较了 RAT、无文件恶意软件和无基础软件攻击在执行策略、规避技术和持久化机制方面的差异—— 以及这对检测的意义。 | 类别 | 执行 | 规避 | 持久化 | |----------|-----------|---------|-------------| | Remcos RAT | Compiled PE | Dynamic API loading | Registry Run key | | 无文件 | PowerShell IEX | Memory-only | Registry (PS) | | 无基础软件 | Trusted binaries | Signed bins | Scheduled tasks | ## 产物 - `report/` → LaTeX 源文件和编译后的 PDF - `samples/` → 无文件和无基础软件技术的伪代码表示 （已注释以防止复现） ## Remcos RAT 样本 从 [MalwareBazaar](https://bazaar.abuse.ch/) 获取。 SHA256: `32aa0546c952a980435c113eeb04b6f9a82bf2b260e0b7b261010eaa585d55f1`