g-cesar/Malware-Analysis-Lab

# 恶意软件分析与逆向工程作品集 本仓库包含从分析真实世界恶意软件样本（例如 LockBit 3.0、AgentTesla、Emotet、WannaCry）中得出的详细技术报告和入侵指标。所有分析均在严格控制且隔离的实验室环境中进行。 ## 🔬 实验室架构 该基础设施建立在运行于 Apple Silicon (M3 Pro) 上的 **VMware Fusion Pro** 之上。实验室通过自定义私有虚拟网络配置为完全的“物理隔离”状态，确保与宿主系统和公共互联网完全隔离。 | 组件 | IP 配置 | 描述 / 角色 | 核心工具集 | | :--- | :--- | :--- | :--- | | **宿主系统** | macOS (Apple Silicon) | Hypervisor 与实验室编排 | VMware Fusion Pro | | **虚拟机 1 (受害者)** | `172.16.111.5` | Windows 11 (+ Flare-VM)。用于样本执行的靶机。 | PEStudio, x64dbg, Ghidra, IDA, Procmon, Process Hacker | | **虚拟机 2 (分析机)** | `172.16.111.10` | Kali Linux。网络网关与服务模拟器。 | FakeNet-NG, Wireshark, Burp Suite | ### 网络配置 实验室在 `172.16.111.0/24` 子网上使用隔离的**私有网络**段。 * **流量拦截：** Windows 受害机被配置为使用 Kali Linux 实例 (`172.16.111.10`) 作为其**默认网关**和**主 DNS**。 * **C2 模拟：** Kali Linux 运行 **FakeNet-NG** 来模拟常见的互联网服务（DNS、HTTP、HTTPS、SMTP）。这允许安全地提取网络 IoC，而不会将流量暴露于真实的恶意基础设施。 ## 🛡️ 安全协议与方法论 1. **二层隔离：** 虚拟机仅连接到没有 NAT 或桥接接口的私有虚拟 LAN。 2. **DNS Sinkholing：** 来自恶意软件的所有 DNS 查询都在内部解析为 Kali IP，从而阻止与命令与控制 (C2) 服务器的任何真实通信。 3. **动态分析：** 在样本引爆期间，实时监控文件系统更改、注册表修改和进程行为。 4. **快照管理：** 在每次新分析之前恢复不可变的“干净状态”快照，以防止样本之间的交叉污染。

标签：AgentTesla, ATT&CK框架, C2服务器模拟, DAST, DNS Sinkhole, DNS 反向解析, Emotet, FakeNet-NG, Flare-VM, IoC提取, IP 地址批量处理, LockBit, OpenCanary, VMware Fusion, WannaCry, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 勒索软件, 威胁情报, 安全实验室, 安全研究报告, 开发者工具, 恶意软件分析, 数据包嗅探, 无线安全, 木马, 样本 detonation, 沙箱环境, 物理隔离, 网络信息收集, 网络安全, 网络安全审计, 网络流量分析, 苹果M3芯片, 逆向工程, 隐私保护, 静态分析