BachTG1505/Malware-Analysis-on-Ardamax-Keylogger

# Ardamax Keylogger 恶意软件分析 ## 概述 本项目展示了在隔离的实验室环境中对 Ardamax Keylogger 样本进行的静态恶意软件分析研究。目的是通过逆向工程和静态检查技术来了解恶意软件的结构、识别恶意指标，并分析与持久化相关的行为。 该分析是作为大学恶意软件分析项目的一部分进行的，重点在于防御性网络安全研究和恶意软件行为理解。 ## 分析范围 * PE 结构分析 * 导入表检查 * 字符串提取与分析 * 资源节调查 * 熵与混淆分析 * 嵌入式 payload 识别 * 注册表持久化检查 * MITRE ATT&CK 行为映射 * 使用 IDA 进行逆向工程 ## 我的贡献 * 搭建隔离的恶意软件分析环境 * 对恶意软件样本执行静态分析 * 进行 PE 结构和资源分析 * 提取可疑字符串和指标 * 调查导入的 Windows API * 分析混淆和加壳内容 * 记录发现和分析工作流 ## 主要发现 * 多阶段恶意软件结构 * 基于 XOR 的字符串混淆 * 动态 API 加载行为 * 基于注册表的持久化机制 * 键盘钩子相关功能 * RCDATA 资源节中嵌入的 CAB payload * 使用与键盘记录活动相关的可疑 Windows API ## MITRE ATT&CK 技术 * T1060 – 注册表 Run Keys / 启动文件夹 * T1112 – 修改注册表 * T1012 – 查询注册表 * T1082 – 系统信息发现 * T1064 – 脚本 ## 使用的工具 * PE-bear * PEStudio * Strings * Resource Hacker * CFF Explorer * Detect It Easy (DIE) * HxD * IDA Free * VirusTotal ## 外部沙箱参考 用于比较和 IOC 验证的公开沙箱分析： https://tria.ge/220311-1jqlqsbed2 ## 学术报告 本仓库基于一份大学恶意软件分析项目报告： “Keylogger 恶意软件的静态与动态分析”。 ## 注意事项 本仓库仅严格用于教育和防御性网络安全研究目的。 本仓库不包含任何恶意的可执行文件、武器化 payload 或运营性的恶意软件基础设施。

标签：DAST, PE结构分析, 云安全监控, 云资产清单, 恶意软件分析, 数据包嗅探, 无线安全, 逆向工程, 键盘记录器, 静态分析