FabioZolin/Malware_Analysis

# 恶意软件分析与逆向工程作品集 欢迎访问我的个人恶意软件分析仓库。 本项目旨在全面记录我在网络威胁情报、恶意软件取证和事件响应 (DFIR) 领域的培训和实践经验。 ## 目的 本仓库的主要目标是教育。它记录了我剖析现实世界恶意软件样本的过程，旨在深入理解其运行机制、网络行为以及逃避检测的策略。 ## 实验室环境 所有分析工作均在一个高度隔离的自定义虚拟环境中进行，该环境旨在安全地 detonate 和监控 weaponized payloads，从而避免危及主机系统。 * **架构：** 混合 Windows/Linux 环境 (FLARE VM + REMnux + SIFT Workstation)。 * **网络隔离：** 严格采用 Air-Gap 方法，使用与主机断开连接的自定义虚拟网络 (`VMnet2`)。 * **遥测与监控：** 使用 **Sysmon** (Sysmon-Modular)、Procmon 和 Regshot 进行主机日志记录。网络流量通过 Wireshark 捕获，并利用 INetSim 和 FakeDNS 进行模拟。内存转储通过 hypervisor 提取。 * **数据渗出：** 安全的“Network Switch” Airlock pipeline，用于事后提取 IOC 和取证 artifacts。 **[阅读完整的实验室设置与架构文档](Lab_Setup_Architecture.md)** ## 分析目录 本仓库按恶意软件家族和具体案例研究进行结构划分： * **[00. 实验室验证与 PoC：RedLine Stealer](00_Lab_Validation_RedLine/)** * *描述：* 家庭实验室的试运行。对 RedLine Stealer 进行受控分析，用于测试网络隔离、数据包捕获、二进制反编译以及安全的数据渗出 pipeline。 * **[InfoStealers/](InfoStealers/)** * **[Ransomware/](Ransomware/)** * **[RATs_and_Backdoors/](RATs_and_Backdoors/)** ## 免责声明与安全警告 **请勿在您的系统上运行任何提供的 ARTIFACTS 或代码。** 本仓库中分析的所有样本均为真实的 weaponized malware，来源于 MalwareBazaar 等平台。提取的 artifacts (PCAPs, CSVs, Binaries) 仅供教育和研究目的使用。 此外，请注意高级恶意软件可能会篡改日志文件（如 CSV）或 PCAP，以利用解析软件中的漏洞。请务必使用更新的工具，并且不要使用易受攻击的应用程序（例如 Microsoft Excel）打开原始日志。 对于因处理这些文件不当而造成的任何损害、数据丢失或系统入侵，我不承担任何责任。请务必使用适当隔离的环境。

标签：DAST, DNS通配符暴力破解, FLARE VM, HTTP工具, IOCs, IP 地址批量处理, Mr. Robot, REMnux, SIFT Workstation, Sysmon, Wireshark, 云安全监控, 云资产清单, 信息窃取程序, 勒索软件, 句柄查看, 后渗透, 后门分析, 威胁情报, 家庭实验室, 开发者工具, 恶意软件分析, 数字取证, 数据展示, 无线安全, 沙箱, 红队, 网络安全, 网络安全审计, 网络隔离, 自动化脚本, 远控木马, 逆向工程, 隐私保护, 静态分析