AltZilla/Malware_Analysis

# 恶意软件流量分析 — 数字作业 3 (DA3) ## 项目概述 本仓库包含在 **VIT Chennai** **计算机网络 (SCOPE)** 课程要求下进行的全面恶意软件流量分析调查。 该项目调查了一个模拟的端点入侵事件，使用了一个 19.7 MB 的原始网络捕获 (`.pcap`) 文件。通过结合自动化 Python 分析和手动 Wireshark 验证，我们重构了 **NetSupport Manager RAT** 感染的攻击链，记录了 30 起不同的恶意事件和 20 条具体的技术推论。 ## 📁 仓库结构 * **`scripts/`**: 使用 **Scapy** 和 **Plotly** 构建的自定义 Python 工具包，用于自动化数据包解析、PE 二进制文件提取以及 C2 信标节律计算。 * **`data/`**: 主要的 PCAP 数据源和机器可读的 JSON 文件（`iocs.json`、`incidents.json`），其中包含提取的威胁情报。 * **`reports/`**: 供人类阅读的分析文档，包括 SOC 级别的 Incident Report（事件报告）和 Wireshark 验证指南。 * **`assets/`**: 系统架构图（`.drawio`）和技术可视化图表。 * **`DA3_blogger_post.html`**: 最终定稿的博客文章，包含完整的叙述性内容和视觉证据。 ## 🛡️ 关键发现 * **识别出的恶意软件**：NetSupport Manager RAT (Remote Access Trojan)。 * **C2 节律**：确认了 13 个周期性信标，间隔精确为 **60 秒**。 * **数据外泄**：超过 **14.7 MB** 的敏感数据被外泄至东欧网段。 * **规避技术**：使用了 LOLBins (Adobe Update 基础设施) 和 Microsoft 子域伪装。 ## 🛠️ 使用的工具 * **Python 3.x**: (Scapy, Plotly, JSON) * **Wireshark**: 用于手动数据包级验证和流量重构。 * **Draw.io**: 用于系统架构设计。 * **AI 推理**: 用于模式识别并将事件映射到 **MITRE ATT&CK** 框架。 ## 🎓 学术背景 * **机构**：VIT Chennai * **学院**：计算机科学与工程学院 (SCOPE) * **科目**：计算机网络 * **学年**：2024–2025 *免责声明：本项目仅用于教育目的。所分析的网络流量包含在受控实验室环境中收集的真实恶意软件特征。*

标签：C2通信, Cloudflare, DLL注入, Homebrew安装, IOC, LOLBins, MITRE ATT&CK, NetSupport Manager, PCAP分析, Plotly, RAT, Scapy, SOC报告, Wireshark, 句柄查看, 后端开发, 命令与控制, 威胁情报, 子域名伪装, 开发者工具, 恶意流量分析, 攻击链重构, 数字取证, 数据渗出, 数据窃取, 流量审计, 知识库安全, 私有化部署, 网络信息收集, 网络安全实验, 自动化脚本, 计算机安全教学, 远控木马, 逆向工具, 防御规避