Oscarlopezbolanos/Malware-Analysis-Lab-Using-REMnux-and-FLARE-VM

# 使用REMnux和FLARE-VM的恶意软件分析实验室 ## 项目概述 本项目记录了在隔离的VirtualBox环境中使用REMnux和FLARE-VM构建恶意软件分析与逆向工程实验室的过程。 该实验室旨在通过实践获得以下经验： - 恶意软件分析 - 数字取证 - 事件响应 - 逆向工程概念 - 网络监控 - 威胁调查 - IOC提取 - 恶意软件行为分析 本项目超越了传统课程的重点，专注于调查性思维和实用的网络安全技能，这些技能与安全运营中心（SOC）操作、数字取证与事件响应（DFIR）、事件响应和威胁搜寻活动直接重叠。 ## 项目目标 本项目的主要目标是： - 构建安全的恶意软件分析环境 - 学习静态和动态恶意软件分析技术 - 熟悉恶意软件调查工具 - 练习虚拟机隔离和安全控制 - 培养文档编写和事件报告能力 - 创建可重复的恶意软件分析工作流程 ## 实验室架构 **虚拟化平台** Oracle VirtualBox **分析机器** | 机器 | 用途 | 资源 | |-----------|-------------------------|-----------------------------------| | FLARE-VM | Windows恶意软件分析工作站 | 5 GB 内存, 4 CPU核心, 100 GB 存储 | | REMnux | Linux恶意软件分析工作站 | 5 GB 内存, 4 CPU核心 | **内部网络** 仅限虚拟机通信 仅主机/内部网络 ## 网络隔离 出于安全目的： - 仅使用VirtualBox内部网络 - 不使用桥接适配器 - 测试前创建快照 - 必要时断开互联网连接 这可以防止恶意软件意外地与家庭网络进行通信。 ## 什么是REMnux？ REMnux是一个专门为恶意软件分析和逆向工程设计的Linux发行版。 可以这样理解： Kali Linux → 攻防/渗透测试 REMnux → 恶意软件调查/取证 REMnux预装了以下用途的工具： - 分析可疑文件 - 提取威胁指标（IOC） - 调查恶意脚本 - 解码混淆的载荷 - 监控网络流量 - 安全地分析恶意软件行为 **常用REMnux工具** | 工具 | 用途 | |-------------------|------------------| | Volatility | 内存分析 | | Wireshark | 数据包捕获 | | YARA | 恶意软件特征签名 | | INetSim | 模拟互联网服务 | | FakeDNS | DNS模拟 | | CyberChef | 数据转换 | | FLOSS | 字符串反混淆 | | PE分析工具 | 可移植可执行文件分析 | ## REMnux配置 常用默认凭据： 用户名：remnux 密码：malware 分配资源： 内存：5196 MB CPU：4核心 ## 什么是FLARE-VM？ FLARE-VM是由Mandiant（谷歌云）开发的基于Windows的恶意软件分析平台。 FLARE-VM会自动安装众多恶意软件分析和逆向工程工具。 **常用FLARE-VM工具** | 工具 | 用途 | |---------------------------|--------------------| | x64dbg | 调试 | | Ghidra | 逆向工程 | | IDA Free | 反汇编 | | Procmon | 进程监控 | | Process Hacker | 进程分析 | | PEStudio | 静态分析 | | Detect It Easy (DIE) | 文件检查 | | dnSpy | .NET分析 | | Regshot | 注册表比较 | | FakeNet-NG | 模拟网络响应 | FLARE-VM支持： - 逆向工程 - 恶意软件行为分析 - 注册表分析 - DLL检查 - 网络回调分析 - Windows内部机制调查 # 静态分析与动态分析 ## 静态分析 静态分析是在不执行的情况下检查恶意软件。 示例： - 哈希值 - 字符串 - 导入表 - 熵值 - 文件头 - 可疑API - 嵌入的URL - 加壳器 - 工具： - PEStudio - FLOSS - Detect It Easy - YARA - VirusTotal ## 动态分析 动态分析是在隔离环境中执行恶意软件并观察其行为。 示例： - 文件创建 - 注册表更改 - 网络流量 - 生成的进程 - 持久化机制 - DNS请求 工具： - Procmon - Wireshark - FakeNet-NG - Regshot - Process Hacker ## FLARE-VM部署挑战 在Windows 10虚拟机上部署FLARE-VM时，遇到了几个安装问题。 最初的部署尝试使用Windows 10家庭版，但FLARE-VM反复安装失败。由于这些兼容性问题，创建了一个使用Windows 10专业版的新虚拟机。 即使升级到Windows专业版后，安装问题仍然持续存在。 ## 已执行的故障排除步骤： - 验证管理员权限 - 验证互联网连接 - 确认PowerShell执行策略 - 禁用Microsoft Defender实时保护 - 禁用篡改防护 - 修改组策略设置 执行了： ```PowerShell Get-ExecutionPolicy -List Set-MpPreference -DisableRealtimeMonitoring $true ``` 尽管系统设置已反映正确配置，但FLARE-VM安装程序继续产生错误的失败。 最终通过使用PowerShell执行策略绕过参数手动执行安装脚本，绕过了此问题。 此故障排除过程突显了构建恶意软件分析环境时遇到的常见挑战：现代操作系统的安全防护可能会干扰逆向工程工具的部署。 这段经历强化了： - 独立验证配置 - 故障排除方法论 - 文档记录实践 - 可重复的补救措施

标签：AI合规, DAST, FLARE-VM, IOC提取, REMnux, VirtualBox, 云安全监控, 云资产清单, 入侵防御系统, 取证工具, 域环境安全, 威胁分析, 威胁猎捕, 威胁调查, 安全实验室, 安全运营, 实验室构建, 工作流, 恶意软件分析, 恶意软件行为, 恶意软件调查, 扫描框架, 数字取证, 文档化, 网络安全, 网络隔离, 自动化侦查工具, 自动化脚本, 虚拟化, 虚拟化技术, 逆向工程, 逆向工程工具, 隐私保护, 静态分析