xbadev/malware-analysis-lab

# 恶意软件分析实验室 在隔离的 Proxmox 环境中使用真实样本进行动手实验 — 包括检测、行为分析以及使用 Sysinternals 工具进行移除。 ## 实验 | # | 实验 | 描述 | |---|------|------| | 01 | [环境搭建](01-environment-setup) | 构建了一个隔离的 Windows 10 分析工作站，配备 Sysinternals Suite（Process Explorer、Autoruns、TCPView、Process Monitor），配置了 Defender 控件，并创建了用于可重复分析的干净基准快照。 | | 02 | [特洛伊木马/RAT 分析](02-trojan-rat-analysis) | 引爆了一个真实的 AsyncRAT 样本，识别出进程伪装（Edge.exe）、注册表持久化、文件自我复制到 AppData 以及 C2 配置。按正确的操作顺序执行手动移除，并通过重启进行验证。 | | 03 | [广告软件/PUP 分析](03-adware-pup-analysis) | 分析了一个使用有效代码签名、MSI 安装程序框架、计划任务弹窗提醒以及通过联盟跟踪利用虚假扫描结果盈利的恐吓软件 PUP。对比了 PUP 技术与第 02 号实验中的特洛伊木马行为。 | ## 后续计划 - 间谍软件检测与移除 - 勒索软件行为分析 - 使用 pfSense/OPNsense 进行网络分段，以实现安全的连接式恶意软件分析

标签：AI合规, ASyncRAT, C2通信, Conpot, DAST, Defender配置, OPNsense, pfSense, Proxmox, PUP, SEO词：Sysinternals分析, SEO词：Windows恶意软件分析, SEO词：恶意分析实验室, SEO词：真实样本分析, SEO词：隔离VM分析, Sysinternals, Windows安全, 云资产清单, 勒索软件, 基线快照, 实验室搭建, 广告软件, 恶意软件分析, 手动清除, 文件自复制, 检测与响应, 注册表持久化, 潜在有害程序, 网络分段, 网络安全, 虚拟机隔离, 计划任务, 进程伪装, 逆向工程, 间谍软件, 隐私保护