alvesdrio2/hive-ransomware-static-analysis

# Hive 勒索软件 – 静态恶意软件分析 在隔离实验室环境中对 Hive 勒索软件进行静态恶意软件分析 本仓库包含一份来自 TheZoo 仓库的 Hive 勒索软件样本的静态恶意软件分析案例研究。 本项目的目标是在隔离的实验环境中执行结构化的静态分析，重点关注文件识别、完整性验证、可执行文件分类、UPX 脱壳、字符串检查以及 IOC 提取。 ## 分析范围 - 仅限静态分析 - 无实际引爆 - 无恶意软件执行 - 隔离的分析环境 ## 使用的工具 - file - sha256sum - md5sum - strings - UPX - Detect It Easy - Bulk Extractor ## 分析方法 1. 样本包的解压 2. MD5 和 SHA256 哈希值验证 3. 提取出的工件文件类型识别 4. 主要 Windows 可执行文件的初步分类 5. UPX 加壳检测 6. 主程序脱壳 7. 脱壳后的静态检查 8. 网络工件提取 ## 主要发现 - 提取的文件与 TheZoo 仓库提供的 MD5 和 SHA256 哈希值匹配。 - 该软件包同时包含 Windows 和 Linux 工件。 - hive.bin_exe 被识别为主要 Windows 可执行文件。 - 该可执行文件使用 UPX 3.96 进行了加壳。 - 脱壳后，文件结构变得更加清晰，便于分析。 - 识别出了 RSA 加密相关的引用。 - 在脱壳后的可执行文件中发现了两个 .onion 域名。 ## 值得注意的工件 - hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion - hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion 完整报告已包含在本仓库中。 ## 安全提示 本仓库仅用于教育和作品集展示目的。 - 不包含任何恶意软件二进制文件 - 不重新分发任何活体样本 - 不应在经过适当隔离的实验室环境之外执行任何恶意文件 ## 作者 **Dário Alves** 网络安全专业学生

标签：DAST, DNS 反向解析, Hive Ransomware, IOC提取, Onion域名, UPX, Windows可执行文件, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 勒索软件, 哈希校验, 威胁情报, 实验室环境, 开发者工具, 恶意软件分析, 数据展示, 文件脱壳, 红队, 网络安全, 网络指纹, 逆向工程, 隐私保护, 静态分析