FahadUmar10422/Malware-ransomware-analysis

# 恶意软件分析与勒索软件恢复 ## 概述 本项目重点对一个用于加密受害者个人文件的勒索软件样本进行逆向工程和取证分析。目标是了解该恶意软件的行为，识别其加密机制，恢复在文件加密过程中使用的加密材料，并开发一个能够恢复受影响数据的可用解密工具。 本次调查结合了静态恶意软件分析、逆向工程、密码学分析和安全软件开发，旨在重构该恶意软件的运行机制，并在无法获取原始源代码的情况下恢复加密文件。 ## 目标 本次分析旨在实现以下目标： * 对勒索软件可执行文件进行逆向工程并了解其功能。 * 识别在执行过程中受影响的特定文件和目录。 * 恢复加密密钥及相关的密码学参数。 * 分析恶意软件的加密工作流程和文件处理机制。 * 开发能够恢复加密文件的自定义解密工具。 * 使用加密的备份数据验证恢复过程。 ## 技术分析 ### 恶意软件逆向工程 使用行业标准的逆向工程技术和工具对该勒索软件样本进行了分析。执行了静态分析以检查程序结构、导入的 API、嵌入的字符串和加密例程。 调查的关键领域包括： * 程序执行流程 * 文件系统交互 * 加密例程 * 密钥管理机制 * 反取证行为 * 自删除功能 ### 密码学分析 该恶意软件利用 AES-CBC 加密来保护受害者文件。 分析工作包括： * 识别加密例程 * 恢复密码学参数 * 提取嵌入的密钥材料 * 通过代码分析验证加密行为 * 重构完整的加密工作流程 随后，恢复的加密材料被用于构建文件恢复解决方案。 ### 文件恢复工具开发 开发了一个基于 Python 的自定义解密工具，以实现恢复过程的自动化。 该工具： * 递归处理加密文件 * 重构原始明文数据 * 支持多文件批量恢复 * 使用恢复的 AES 密钥和初始化向量 * 无需与恶意软件交互即可恢复受害者数据 ## 展示的技能 * 恶意软件分析 * 逆向工程 * 静态二进制分析 * 数字取证 * 密码学 * Python 开发 * 应急响应 * 安全软件开发 * 威胁调查 ## 工具与技术 ### 分析工具 * IDA Pro * ExifTool * Python ### 密码学 * AES-CBC * 密钥恢复 * 密码学工作流程分析 ### 开发 * Python * PyCryptodome ## 仓库结构 ``` . ├── report/ │ └── ransomware_analysis_report.pdf │ ├── tools/ │ └── decrypt.py │ ├── screenshots/ │ ├── imports_analysis.png │ ├── strings_analysis.png │ ├── crypto_analysis.png │ └── recovery_results.png │ └── README.md ``` ## 结果 本次调查成功识别了勒索软件的加密过程，恢复了所需的加密材料，并制作了一个能够恢复受害者加密文件的可用解密工具。 本项目展示了对恶意软件逆向工程、密码学分析以及现代网络安全操作中常见的应急响应工作流的实践经验。 ## 免责声明 本仓库仅出于教育、研究和防御性网络安全目的提供。相关的分析和工具旨在支持恶意软件研究、数字取证和应急响应活动。

标签：AES加密, DAST, DNS 反向解析, 云资产清单, 勒索软件解密, 域环境安全, 安全取证, 密码学分析, 恶意软件分析, 逆向工具, 逆向工程