Princetogram/Malware-Analysis-Portfolio

# 恶意软件分析与漏洞开发作品集 欢迎来到我的 **ACO803 — 恶意软件分析与漏洞开发** 课程作品集。本仓库记录了在隔离的实验室环境中，对真实世界恶意软件样本进行的实践动态、静态和网络层取证分析。 ## 仓库结构 ``` ├── Project-1-Static-Analysis/ │ ├── Advanced_Malware_Static_Analysis_Report.md # Comprehensive static PE forensic report │ ├── Advanced_Malware_Static_Analysis_Report.docx # Formatted Word report │ ├── analyze.py # Automated PE header & section parsing script │ ├── analyze_inmem.py # Memory-mapped PE extraction utility │ ├── generate_docx.py # Report generation script │ └── analysis_results.json # Extracted structural JSON metadata │ └── Project-2-Unpacking-and-Network-Analysis/ ├── Malware_Sample_2_Unpacking_Analysis_Report.md # Unpacking & static analysis report ├── PCAP_Network_Analysis_Report.md # Network dynamic analysis report ├── screenshots/ # Real Wireshark network captures │ ├── wireshark_tcp_handshake.png # TCP SYN handshake to C2 fallback │ ├── wireshark_http_filter.png # Full HTTP traffic capture (Malware + OS) │ ├── wireshark_http_response.png # FakeNet-NG simulated HTTP response │ ├── wireshark_tcp_rst.png # Socket reset teardown sequence │ └── wireshark_dns_noise.png # Isolated Windows Update & telemetry noise └── scripts/ # Forensic scripts ├── analyze_unpacked.py # Unpacked PE string parsing script ├── parse_pcap.py # Custom PCAP stream parser (LINKTYPE_RAW) └── generate_pcap_report.py # Automated document compilation script ``` ## 项目概述 ### 项目 1：高级恶意软件静态分析 * **目标：** 对未知的恶意 PE32 二进制文件进行深入的结构取证，在不执行代码的情况下识别其架构、完整性、加密指标和导入表。 * **主要成果：** * 开发了一个自定义的 Python 工具 (`analyze.py`)，利用 `pefile` 库实现了自动化解析文件区段、计算加密哈希 (MD5, SHA-256) 以及评估导入地址表 (IAT) API 函数。 * 识别了混淆区段，分析了指示加壳的高熵值，并映射了可疑的导入组合（如反调试和进程注入 API）。 * 将所有结构异常详细记录在一份精美的技术威胁情报报告中。 ### 项目 2：恶意软件脱壳与 PCAP 网络分析 * **目标：** 对加壳的恶意流氓安全软件下载器 (**BraveSentry**) 进行去混淆，在隔离的 Windows 10 虚拟机中引爆它，捕获出站网络流量，并编写一份详细说明其 C2 通信通道和规避技术的取证报告。 * **主要成果：** * 使用 `UPX` 解压对该二进制文件进行去混淆和脱壳，降低了结构熵并恢复了原始执行入口点。 * 对脱壳后的二进制文件进行静态字符串分析，以恢复硬编码的 C2 基础设施，包括域名 `download.bravesentry.com`、payload URL `/download.php` 以及备用 IP `69.50.175.181`。 * 在运行 **FakeNet-NG 3.5** 的隔离 VirtualBox 环境中引爆恶意软件，以拦截流量并生成 `.pcap` 捕获文件。 * 在 **Wireshark** 中分析捕获文件，证明了 **DNS 规避**：恶意软件在没有进行 DNS 查询的情况下，直接向硬编码的 IP `69.50.175.181:80` 发起了 TCP 连接，同时仍利用 Host 标头进行路由。 * 使用 Python (`parse_pcap.py`) 编写了自定义的 PCAP 解析器，用于解析链路层类型 12 (Raw IP) 数据包，并提取交易时间戳、HTTP GET 标头和会话跟踪参数 (`advid=00000717`, `u=1442`, `p=48491732`)。 ## 展示的技能与技术 * **逆向工程与脱壳：** 对加壳恶意软件进行去混淆，分析 PE 结构（PE32、IAT、区段头、熵）。 * **动态分析与引爆：** 在客户操作系统中进行受控执行、Hypervisor 网络配置（VirtualBox Host-Only 网络）以及注册表监控。 * **网络取证与拦截：** 数据包捕获分析（Wireshark）、网络模拟（FakeNet-NG、WinDivert 重定向）、DNS 跟踪和 HTTP 协议流解析。 * **威胁情报与 MITRE ATT&CK：** 将恶意行为映射到 MITRE 技术（T1071.001 Web Protocols、T1105 Ingress Tool Transfer、T1568 Dynamic Resolution、T1001 Data Obfuscation），并识别历史命令与控制基础设施（例如 Atrivo/Intercage 防弹主机托管）。 * **检测工程：** 创建入侵检测签名（Snort/Suricata 规则）和文件检测标记（YARA 规则）。 * **脚本与自动化：** 开发基于 Python 的取证工具，用于解析数据包捕获并提取二进制结构特征。

标签：DAST, Metaprompt, Python, 云安全监控, 学习项目, 恶意软件分析, 无后门, 网络流量取证, 逆向工具, 静态分析