theonlythebest/malware-analysis-pintool

GitHub: theonlythebest/malware-analysis-pintool

一个利用 Intel PIN 实现动态二进制插桩的恶意软件分析项目，专注于检测反分析技术并跟踪可疑行为。

Stars: 0 | Forks: 0

# 恶意软件分析与反分析（Intel PIN） ## 目标 Analyser et détecter les techniques d’anti-analysis utilisées par des malwares à l’aide de l’instrumentation binaire dynamique (DBI) avec Intel PIN. ## 项目 Projet réalisé en équipe (4 personnes) au laboratoire de recherche de l’EPITA (LRE), encadré par un enseignant-chercheur (Walid Ghandour). Contribution personnelle : - Développement de Pintools en C++ avec Intel PIN - Implémentation des algorithmes d’anti-analysis - Analyse dynamique de malwares en environnement isolé (FLARE VM) ## 背景 L’instrumentation binaire permet d’observer et de modifier le comportement d’un programme pendant son exécution, sans accès au code source. Les malwares utilisent des techniques d’anti-analysis (anti-debug, anti-VM, anti-instrumentation) pour échapper à l’analyse. Ce projet vise à comprendre et analyser ces mécanismes. ## 完成的工作 - Implémentation de Pintools en C++ - Analyse dynamique avec Intel PIN - Détection d’API suspectes - Suivi de buffers en mémoire - Analyse des comparaisons et branches conditionnelles ## 实现的算法 ### 算法 1 – API Hooking Détection et interception d’appels API utilisés dans des techniques d’anti-analysis → `src/algo1_hooking.cpp` ### 算法 2 – 缓冲区跟踪 Suivi des buffers mémoire associés à des comportements suspects (mov, push, pop) → `src/algo2_buffer.cpp` ### 算法 3 – 条件分支检测 Analyse des instructions `cmp` et des branches conditionnelles pour détecter des comportements suspects → `src/algo3_branch.cpp` ## 技术方法 Utilisation de la Dynamic Binary Instrumentation (DBI) pour analyser un programme sans modifier son binaire. Intel PIN utilise un compilateur JIT pour instrumenter le code en temps réel. ## 环境 - Machine virtuelle isolée (VMware) - Windows 10 + FLARE VM - Réseau totalement désactivé - Malware provenant de VirusShare (exemple packé UPX) ## 工具 - C++ - Intel PIN - Ghidra - x64dbg - FLARE VM - Cygwin / Visual Studio Build Tools - VirusTotal ## 结果 - Détection de techniques d’anti-analysis - Observation du comportement dynamique du malware - Analyse des appels API, buffers et branches conditionnelles ## 报告 Projet réalisé au laboratoire de recherche de l’EPITA (LRE).

标签：API Hooking, C++, DAST, DBI, DOM解析, EPITA 实验室, FLARE VM, Intel PIN, Pintool, 二分析, 云资产清单, 内存行为分析, 动态二进制插桩, 反分析技术, 反虚拟机, 反调试, 子域名变形, 恶意软件分析, 数据擦除, 条件分支检测, 缓冲区跟踪, 逆向工程, 隔离环境