ardaeksi/MalwareAnalysisProkject

# 恶意软件分析项目 ## 概述 本项目演示了在受控和教育环境中各种恶意软件技术的实现。其目标是模拟常见的恶意软件行为，例如持久化、隐蔽、混淆和逃逸，同时嵌入可以通过静态和动态分析恢复的 flag。 ## 已实现的功能 ### 1. 持久化 - 通过 Windows Registry Run 键实现 - 确保程序在系统启动时执行 ### 2. 实例检测 - 使用 mutex 实现 - 防止程序的多个实例同时运行 ### 3. 落盘文件痕迹 - 在磁盘上创建包含编码数据的文件 - 演示文件遗留和取证痕迹 ### 4. 网络通信 - 向模拟服务器 (FakeNet) 发送类 HTTP 请求 - 通过自定义 HTTP header 传输编码后的 flag ### 5. 编码 (运行时) - Flag 采用 XOR 编码，仅在运行时解码 - 防止通过静态分析恢复 ### 6. 运行时逃逸与隐蔽 - 进程注入到 `notepad.exe` - Flag 存储在远程进程内存中 ### 7. 代码混淆 - 使用不透明谓词将 flag 隐藏在不可达分支中 - Flag 可通过静态分析获取 ### 8. 反调试 - 使用 Windows API 检测调试器是否存在 - 当检测到调试器时改变执行流 ### 9. 反虚拟机检测 - 检查系统标识符（例如，计算机名、用户名） - 在虚拟机中运行时改变行为 ### 10. 加壳 - 使用 UPX 对可执行文件加壳 - 演示一种基本的反分析技术 ## 使用的工具 - C (WinAPI) - FakeNet - x64dbg - Detect It Easy (DIE) - UPX - CyberChef ## 执行说明 1. 编译程序： ``` gcc malware.c -o malware.exe ```

标签：ATT&CK仿真, Conpot, DNS 反向解析, DOM解析, IP 地址批量处理, SSH蜜罐, WinAPI, Windows安全, 中高交互蜜罐, 云安全监控, 云资产清单, 代码混淆, 免杀技术, 加壳脱壳, 反虚拟机, 反调试, 恶意代码分析, 恶意软件开发, 教育演示, 无线安全, 暴力破解检测, 网络信息收集, 网络安全, 进程注入, 逆向工程, 配置文件, 隐私保护, 静态分析