Tanner-Portfolio/Malware-Analysis

# 恶意软件分析与逆向工程实验室 ## 免责声明： 本代码库包含用于分析恶意软件的方法和脚本。仅供教育和研究目的使用。 **请勿**在未实施物理隔离或未安全虚拟化的环境之外执行恶意二进制文件。 ## 📝 项目概述 本代码库记录了我在分析活跃恶意软件变种时所使用的方法、环境配置以及发现。首个展示案例是在安全隔离的虚拟化环境中，对 **Mirai IoT 僵尸网络** 进行动态和静态分析。 ## 🏗️ 技术架构 为了确保零交叉污染风险或防止意外发生外部网络通信，该实验室采用了严格的主机专用虚拟化基础设施构建。 * **Hypervisor:** 使用 `virt-manager` 管理的 QEMU/KVM，以实现高性能和深度控制。 * **分析机:** REMnux (逆向工程恶意软件 Linux)，通过添加额外的静态分析工具进行了定制。 * **虚拟磁盘配置:** 将基础的 REMnux 镜像转换为 `.qcow2` 格式，以利用写时复制功能并实现快速快照回滚。 * **网络配置:** 严格隔离的主机专用虚拟网络，没有通往 WAN 的出口。在本地模拟 DNS 和 HTTP 请求，以便安全地观察恶意软件的信标行为。 ## 🛠️ 使用的工具 * **基础设施:** QEMU、KVM、`virt-manager`、Linux CLI。 * **操作系统/环境:** REMnux、Ubuntu (受害者/目标 OS)。 * **分析工具:** Wireshark、INetSim、Ghidra、Strings、Floss。 ## 🔍 主要发现与功能 * **安全处理程序:** 通过建立物理隔离的虚拟环境，展示了对恶意软件处理协议的严格遵守。 * *待定：Mirai 静态分析结果（混淆方法，硬编码的 C2 域名）。* * *待定：Mirai 动态分析结果（网络信标行为，投放机制）。* ## 📂 恶意软件变种档案 *[**01：Mirai 僵尸网络变种**](./01-Mirai-Botnet/README.md) * *重点:* IoT 僵尸网络架构、QEMU/KVM 物理隔离沙箱配置，以及静态/动态网络行为分析。

标签：C2通信分析, DAST, DNS 反向解析, Ghidra, IP 地址批量处理, Mirai僵尸网络, QEMU/KVM, REMnux, Wireshark, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 句柄查看, 威胁情报, 安全实验室, 开发者工具, 恶意软件分析, 气隙隔离, 沙箱环境, 物联网安全, 网络信标, 虚拟化安全, 身份验证强制, 逆向工程, 配置审计, 静态分析, 靶场搭建