Marco-Security/malware-analysis-lab
GitHub: Marco-Security/malware-analysis-lab
一个基于 FLARE-VM 的恶意软件分析实验室作品集,以结构化报告形式展示静态与动态分析的完整方法论。
Stars: 0 | Forks: 0
# 恶意软件分析实验室
**分析师:** Marco. — [Github](https://github.com/Marco-Security)
**专注方向:** 面向 SOC Analyst 作品集的静态与动态恶意软件分析
**环境:** FLARE-VM (Windows 10 Pro) — 隔离的 Host-Only 网络
## 免责声明
本仓库中分析的所有样本均从公共恶意软件仓库(MalwareBazaar、theZoo)获取,仅限用于**教育和研究目的**。
本仓库不存储任何二进制文件。提供的样本哈希仅供参考。
所有分析均在**隔离的虚拟机**中执行,运行期间无互联网访问权限。
## 实验室环境
| 组件 | 详情 |
|---|---|
| 分析师虚拟机 | FLARE-VM — Windows 10 Pro |
| 网络模式 | Host-Only(动态分析期间隔离) |
| 快照策略 | 每次动态分析后恢复快照 |
### 可用工具 (FLARE-VM)
**静态分析**
- PEStudio — PE 头部检查、导入表、字符串、熵值
- FLOSS (FireEye Labs Obfuscated String Solver) — 解混淆字符串
- ExifTool — 文件元数据
- CFF Explorer — PE 结构深入分析
- DIE (Detect It Easy) — 加壳器/编译器检测
**动态分析**
- Process Monitor (Procmon) — 文件系统、注册表、进程活动
- Process Hacker — 实时进程检查、内存
- Wireshark — 网络流量捕获
- Regshot — 注册表快照比较
- Autoruns — 持久化机制检测
## 仓库结构
```
malware-analysis-lab/
├── README.md ← This file
├── tools-setup.md ← Environment & tool configuration notes
├── samples/
│ └── .gitignore ← Binaries are NEVER committed
└── reports/
└── 001-agent-tesla/
├── report.md ← Full analysis report
├── static-analysis.md ← Static analysis detail
├── dynamic-analysis.md ← Dynamic analysis detail
└── iocs.txt ← Indicators of Compromise
```
## 分析索引
| # | 家族 | 类型 | 日期 | 报告 |
|---|--------|------|------|--------|
| 001 | AgentTesla | Infostealer / RAT | — | [查看](./reports/001-agent-tesla/report.md) |
## 分析方法
每次分析遵循以下工作流程:
```
1. Hash verification (SHA256)
↓
2. VirusTotal lookup (hash only — no upload)
↓
3. Static Analysis
PEStudio → FLOSS → DIE → CFF Explorer
↓
4. Regshot baseline snapshot
↓
5. Dynamic Analysis (network isolated)
Procmon + Process Hacker + Wireshark
↓
6. Regshot comparison
↓
7. IOC extraction
↓
8. MITRE ATT&CK mapping
↓
9. Report generation
```
## 参考文献
- [MalwareBazaar](https://bazaar.abuse.ch) — 公共恶意软件仓库
- [MITRE ATT&CK](https://attack.mitre.org) — 对抗战术和技术框架
- [FLARE-VM](https://github.com/mandiant/flare-vm) — Mandiant 恶意软件分析发行版
- [Any.run](https://any.run) — 用于交叉引用的在线沙箱
标签:Agent Tesla, DAST, DNS 反向解析, FLARE-VM, PE文件分析, Process Monitor, SOC分析师, Windows 10, Wireshark, 云安全监控, 云资产清单, 句柄查看, 威胁情报, 安全作品集, 安全分析师, 安全实验室, 安全实验环境, 安全运营, 开发者工具, 恶意软件分析, 恶意软件分析报告, 扫描框架, 数据包嗅探, 无线安全, 样本分析, 网络安全, 网络安全审计, 逆向工程, 隐私保护, 静态分析