Raiyan-Alif/windows-malware-analysis-labs

# 控制恶意软件分析与逆向工程评估 ## 摘要 本项目详细描述了在一个隔离的 Windows 10 虚拟环境中进行的恶意软件分析流程[cite: 12]。它比较了三种威胁类型——恐吓软件、勒索软件模拟器和键盘记录器——以隔离二进制头部、执行方法和结构化缓解策略[cite: 12]。 ## 1. Hydra：恶作剧软件/恐吓软件家族分析 检查一个配置为生成无限递归窗口的视觉干扰有效载荷[cite: 12]。 ### 静态分析指标 * **二进制框架：** BinText 和 PEview 分析确认 Hydra 是一个托管 32 位 .NET GUI 应用程序，使用 `Microsoft.VisualBasic.ApplicationServices`[cite: 12]。 * **头部架构：** `IMAGE_FILE_HEADER` 定义了一个包含 3 个部分的 `IMAGE_FILE_MACHINE_1386` 结构，将执行属性分配给 `IMAGE_SUBSYSTEM_WINDOWS_GUI`[cite: 12]。 * **嵌入字符串：** 提取主要视觉弹出有效载荷字符串："砍掉一个头，两个将取而代之！万岁，九头蛇！"。它还包含指向 `DisableTaskMgr` 和 `SOFTWARE\Microsoft\Windows\CurrentVersion\Run` 的字符串，表明潜在的持久化机制[cite: 12]。 * **动态行为：** 在窗口退出命令触发连续循环线程，消耗桌面 GUI 资源而不更改本地数据[cite: 12]。 ## 2. EduRansW：勒索软件模拟器分析 一个本机、未打包的 64 位 AMD64 二进制文件，旨在评估加密压力模式下的端点行为[cite: 12]。 * **动态签名：** 通过 Sysinternals Process Monitor (ProcMon) 跟踪显示积极的文件系统修改[cite: 12]。 * **系统影响：** 执行一系列 `CreateFile`、`WriteFile` 和 `SetEndOfFileInformationFile` 调用，覆盖目标用户目录内的内容并附加 `.eduransw` 扩展名[cite: 12]。 ## 3. PsyLog：键盘记录器与间谍软件特洛伊木马分析 一个以隐蔽为导向的数据收集特洛伊木马，设计为托管 32 位 .NET 可执行文件[cite: 12]。 * **动态签名：** 作为隐藏进程在后台静默运行，没有活动的 GUI 窗口[cite: 12]。 * **系统影响：** 监控外围硬件输入，并对 `WriteFile` 进行顺序调整，将明文按键记录到本地的 `psylog.txt` 文件中[cite: 12]。 ## 4. 企业防御映射 | 威胁类别 | 执行指标 | 目标企业防御 | | :--- | :--- | :--- | | **Hydra（恐吓软件）** | 高频线程创建，用户界面中断[cite: 12]。 | 强制执行应用程序白名单策略和实时进程行为监控引擎[cite: 12]。 | | **EduRansW（勒索软件）** | 自动批处理加密序列，自定义文件扩展名更新[cite: 12]。 | 部署与不可变离线备份配对的自动化端点检测和响应 (EDR) 代理[cite: 12]。 | | **PsyLog（键盘记录器）** | 静默监控线程，隐藏明文输出写入[cite: 12]。 | 强制执行多因素身份验证 (MFA) 以及严格的主机最小权限策略[cite: 12]。 |

标签：合规性检查, 多人体追踪