Asha-Sarkar-16/Malware-Analysis-Detection

# 恶意软件分析与检测 恶意软件创建、基于 YARA 的检测及 VirusTotal API 自动化 —— Spypro Security Solutions 实习项目 # 🦠 恶意软件分析与检测项目 **机构：** Spypro Security Solutions (实习) **分析师：** Asha Latha Sarkar **周期：** 2025年1月 – 4月 ## 📋 项目概述 在隔离的 VMware 实验室环境中完成端到端的恶意软件创建、投递、C2 通信以及检测。 展示了三种检测技术： - ✅ 基于 YARA 规则的检测 - ✅ VirusTotal 信誉分析 - ✅ Python + VirusTotal API 自动化 ## 🔬 实验室环境 | 虚拟机 | 操作系统 | 角色 | |---|---|---| | VM 1 | Kali Linux | 攻击者 —— 载荷创建与 C2 | | VM 2 | Windows 10 | 受害者 —— 靶机 | | 网络 | Host-Only | 与真实网络隔离 | ## 📊 关键成果 - ✅ 创建了 **3** 个恶意软件载荷 (编码与未编码) - ✅ 编写了 **15+** 条自定义 YARA 规则 - ✅ 恶意软件检测效率提升了 **25%** - ✅ 使用 Python 自动化分析了 **50+** 个样本 - ✅ 编码使 AV 检出率从 **~65% 降低至 ~32%** ## 🧪 演示技术 | 步骤 | 技术 | |---|---| | 载荷创建 | MSFvenom reverse_tcp Meterpreter | | 规避 | shikata_ga_nai XOR 编码器 | | 投递 | Apache2 HTTP 服务器 | | C2 | Metasploit multi/handler 监听器 | | 检测 | YARA 规则 (编码与未编码) | | 自动化 | Python + VirusTotal API | ## 🎯 MITRE ATT&CK 映射 | ID | 技术 | |---|---| | T1059 | 命令和脚本解释器 | | T1204.002 | 用户执行：恶意文件 | | T1027 | 混淆文件 / 编码 | | T1071.001 | 应用层协议：HTTP | | T1571 | 非标准端口 (4444) | ## 🛠️ 使用的工具 `Metasploit` `MSFvenom` `YARA` `VirusTotal` `Python` `Apache2` `VMware` `Kali Linux` ## 📂 仓库内容 | 文件 | 描述 | |---|---| | `Malware_Analysis_Project_AshaSarkar.docx` | 完整项目文档 | | `malware_scanner.py` | Python + VirusTotal API 自动化脚本 | ## ⚠️ 免责声明 所有恶意软件均在一个隔离的 VMware 实验室环境中创建和执行，仅供教育目的。 未对任何真实系统造成损害。

标签：Apache2, ATT&CK框架, C2通信, DAST, DNS信息、DNS暴力破解, DNS 反向解析, HTTP服务器, Meterpreter, MSFvenom, Python自动化, Shellcode, shikata_ga_nai, VirusTotal API, VMware, XOR编码, YARA规则, 云资产清单, 免杀技术, 反病毒检测, 威胁情报, 安全分析报告, 安全实验室, 安全防护, 开发者工具, 恶意样本分析, 恶意软件分析, 技术调研, 数据展示, 暴力破解检测, 杀毒 evasion, 红队, 网络安全实习, 网络安全项目, 虚拟机环境, 逆向工具, 逆向工程