NarayananPS60014/DFIR_MalwareAnalysis-Portfolio

# DFIR & 恶意软件分析作品集 本存储库作为技术档案，记录了通过数字取证、事件响应（DFIR）和恶意软件分析的结构化进展。它包含来自受控实验室环境的案例报告、行为分析日志和网络流量调查。 ## 分析路线图 本作品集按顺序组织，以遵循事件响应生命周期和分析流程： * **第一阶段：网络流量分析：** PCAP 分析、协议提取、识别命令和控制（C2）通信和规避技术。 * **第二阶段：数字取证：** 内存取证和基于主机的证据分析，以重建执行时间线。 * **第三阶段：动态分析：** 通过沙箱引爆进行行为分析，以映射系统修改、网络请求和 API 钩子。 * **第四阶段：静态分析：** 二进制反汇编和代码分析，以提取硬编码指标、加密例程和操作逻辑。 ## 存储库结构 ### /网络流量分析 *当前重点：流量分析和威胁识别。* * **Easy-As-123：** 网络分析报告，详细说明 NetBIOS/Kerberos 证据以及通过未加密的 HTTP 在 TCP/443 上隔离的远程访问木马（RAT）。 * **Lumma Stealer：** 网络分析报告，详细说明通过 TLS SNI 提取初始命令和控制（C2）信标以及后利用阶段检测。 ### /数字取证 *(进行中)* * 重点：基于 Volatility 的内存取证和操作系统证据分析。 ### /恶意软件分析 *(进行中)* * **/DynamicAnalysis：** 引爆日志、进程树和行为报告。 * **/StaticAnalysis：** * **/BinaryReversing：** CTF 二进制文件、程序性逆向工程和算法分析。 * **/MalwareTeardowns：** 汇编级分析和武器化有效载荷的解包。 ## 实验室环境与工具 * **操作系统环境：** Arch Linux（主要主机）、隔离的 Windows 引爆沙箱。 * **网络分析：** Wireshark、TShark、Zeek。 * **取证与分析：** Volatility、Ghidra、x64dbg。 **安全通知：** 本存储库不托管任何实时、未加密的恶意软件样本。所有分析的二进制文件都严格包含在本地、断网虚拟环境中。

标签：Arch Linux, DAST, JARM, NetBIOS, PCAP, RAT, SNI, TLS, 主机分析, 二进制逆向工程, 云安全监控, 内存分析, 合规性检查, 威胁情报, 安全实验室, 安全架构, 安全测试, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 攻击性安全, 数字取证, 武器化载荷, 汇编分析, 沙箱分析, 漏洞分析, 程序逆向, 算法分析, 网络安全, 网络流量分析, 自动化脚本, 路径探测, 防御工具, 隐私保护, 静态分析