ahmedargoubi/Malware-Analysis-Handbook

# 恶意软件分析 — 知识库 ## 简介 恶意软件分析是一门在受控环境中研究恶意软件，以了解其运行机制、功能和相关指标的学科。这是网络安全领域的一项基础技能，无论是用于事件响应还是威胁情报、检测和预防都非常有用。 恶意软件分析师不仅仅是为了确认某个文件是否恶意——这是杀毒软件的工作。他们的目标是回答具体问题：**这个恶意软件做了什么，如何检测它，如何清除它，以及它可能是谁编写的？** 本仓库的结构设计为循序渐进的学习路径。每个文件都是独立的，但都遵循技能提升的逻辑。 ## 目标 - 了解该领域的基础知识：家族、行为和词汇 - 掌握三大主要方法：自动化分析、静态分析和动态分析 - 能够使用行业标准工具 - 具备识别妥协指标 (IOC) 的能力 - 了解现代恶意软件使用的高级技术 - 为实践操作、面试和真实场景提供可靠的参考资料 ## 您将学习的内容 | 文件 | 内容 | |---|---| | `01_malware_fundamentals.md` | 定义、家族、感染生命周期、IOC | | `02_automated_analysis.md` | Sandboxes、VirusTotal、自动化分析 | | `03_static_analysis.md` | 无执行分析、PE 工具、熵、strings | | `04_dynamic_analysis.md` | 受监控的执行、网络与系统行为 | | `05_windows_registry.md` | Windows 注册表、持久化、可疑键值 | | `06_advanced_malware_analysis.md` | Windows API、注入、反分析、packers、C2 | ## 学习路径的逻辑 ``` Fondamentaux ↓ Analyse automatisée ← point d'entrée rapide, résultats immédiats ↓ Analyse statique ← comprendre un binaire sans l'exécuter ↓ Analyse dynamique ← observer le comportement réel ↓ Registre Windows ← comprendre la persistance et la configuration ↓ Techniques avancées ← injection, évasion, débogage, C2 ``` 这种进阶是刻意安排的：从快速且低风险的内容开始，然后逐步深入。实际上，经验丰富的分析师会以非线性的方式结合这些方法——但按顺序理解它们仍然是掌握这些方法的最佳途径。 ## 推荐环境 恶意软件分析必须始终在隔离的环境中进行： - **专用虚拟机**（VMware、VirtualBox、QEMU），在任何执行前拍摄快照 - **隔离网络**：不连接外部网络，或通过 INetSim / FakeNet-NG 进行模拟 - **专用发行版**：REMnux (Linux)、FlareVM (Windows) 提供了大部分预安装的工具 - **黄金法则**：绝不在生产环境或连接到真实网络的机器上分析恶意软件 ## 总结 本仓库并非一本详尽的手册。它是一个实用的知识库，旨在供您在分析之前、期间和之后查阅。该领域发展迅速——基础技术保持稳定，但现代恶意软件越来越多地结合了各种高级方法。 提升技能的最佳方式仍然是在安全的环境中对真实样本进行实践。 *参考资料：Practical Malware Analysis — Sikorski & Honig | REMnux 文档 | MITRE ATT&CK*

标签：DAST, 云资产清单, 合规性检查, 威胁情报, 安全培训, 开发者工具, 恶意软件分析, 网络安全, 身份验证强制, 逆向工程, 防御加固, 隐私保护