MarkoM123/malware-analysis-lab

# 恶意软件分析实验室 专注于安全、教育性工作流的防御性逆向工程和恶意软件分析作品集项目。 ## 项目概述 `malware-analysis-lab` 是一个专为作品集设计的防御性恶意软件分析和逆向工程实验室。它演示了如何在受控环境中使用静态分析、动态观察、IOC 提取和检测内容开发来分析可疑二进制文件，且不涉及恶意软件的构建或部署。 本仓库仅包含无害的玩具样本材料和模拟发现。 ## 展示技能 - 静态分析 - 动态分析 - IOC 提取 - 二进制分类 - 基础 PE 检查 - 逆向工程工作流 - 威胁分析报告 - YARA 规则编写 ## 参考工具 本实验室从概念上参考了常见的分析工具： - Ghidra - x64dbg - PE-bear 和类似的 PE 检查工具 - ProcMon - Wireshark - YARA - Python ## 安全实验室设置 采用严格的分析实验室设计： - 专用于分析的隔离虚拟机 - 执行测试期间无互联网访问 - 当需要网络进行受控遥测测试时，使用 Host-only 网络 - 频繁的 VM 快照和回滚点 - 将分析环境与日常使用的系统分开 - 切勿在主机上执行未知二进制文件 ## 分析工作流 1. 文件分类和初始元数据捕获 2. 哈希计算（`MD5`、`SHA1`、`SHA256`） 3. 字符串提取和筛选 4. 导入表审查和 PE 元数据检查 5. 沙箱中的行为观察 6. IOC 收集和验证 7. YARA 规则起草和调优 8. 专业报告撰写 ## 项目结构 ``` malware-analysis-lab/ README.md docs/ methodology.md analysis-workflow.md sample-report.md ioc-cheatsheet.md samples/ benign_sample_1/ benign_sample_2/ README.md tools/ strings_parser.py hash_calculator.py pe_metadata_extractor.py yara_generator.py ioc_extractor.py reports/ sample1_analysis.md sample2_analysis.md executive_summary.md yara/ sample1_rule.yar sample2_rule.yar screenshots/ README.md ``` ## 快速开始 ``` python tools/hash_calculator.py samples/benign_sample_1/sample1_toy.dll python tools/strings_parser.py samples/benign_sample_1/sample1_toy.dll -o reports/sample1_strings.txt python tools/pe_metadata_extractor.py samples/benign_sample_1/sample1_toy.dll python tools/ioc_extractor.py samples/benign_sample_1/sample1_toy.dll --output-base reports/sample1_iocs python tools/yara_generator.py --sample-name sample1_toy.dll --strings reports/sample1_strings.txt --output yara/sample1_rule_auto.yar ``` ## 作品集价值 本项目展示了防御性安全思维、严谨的逆向工程方法论以及检测工程基础。其结构旨在展示可重复的分析师工作流、清晰的证据处理以及技术发现的专业沟通。 ## 安全声明 - 本仓库仅用于教育和防御目的。 - 不包含任何恶意软件开发或武器化载荷内容。 - 示例指标和行为说明均为培训目的进行了模拟。

标签：DAST, DNS信息、DNS暴力破解, Ghidra, IOC提取, PE文件分析, ProcMon, Python, Wireshark, YARA规则, 二进制分析, 二进制分类, 云安全监控, 云安全运维, 云资产清单, 句柄查看, 哈希计算, 威胁情报, 字符串提取, 安全实验室, 安全工具开发, 安全报告, 开发者工具, 恶意软件分析, 情报收集, 教育项目, 数据展示, 无后门, 沙箱, 漏洞研究, 红队, 网络安全, 虚拟机隔离, 行为监控, 逆向工具, 逆向工程, 防御性安全, 隐私保护, 静态分析