Princetogram/ACO803-Malware-Analysis-Exploit-Development

# 网络安全与恶意软件分析作品集 欢迎来到我的作品集！本仓库包含了一系列高级恶意软件分析报告、脚本以及来自 **ACO803 — 恶意软件分析与漏洞利用开发** 课程的成果。 这些项目展示了完全在隔离的虚拟机环境中进行的静态分析、脱壳、API 分析、行为重建以及逆向工程方法论。 ## 📂 仓库结构 | 文件 / 文件夹 | 描述 | | :--- | :--- | | 📄 [Advanced_Malware_Static_Analysis_Report.md](file:///c:/Users/HomePC/Documents/ACO803%20-%20Malware%20Analysis%20and%20Exploit%20Development/Advanced_Malware_Static_Analysis_Report.md) | 针对 `Malware.Unknown.exe` 的 Markdown 技术报告。 | | 📘 [Advanced_Malware_Static_Analysis_Report.docx](file:///c:/Users/HomePC/Documents/ACO803%20-%20Malware%20Analysis%20and%20Exploit%20Development/Advanced_Malware_Static_Analysis_Report.docx) | 静态分析报告的完全排版 Word 文档版本。 | | 📄 [Malware_Sample_2_Unpacking_Analysis_Report.md](file:///c:/Users/HomePC/Documents/ACO803%20-%20Malware%20Analysis%20and%20Exploit%20Development/Malware_Sample_2_Unpacking_Analysis_Report.md) | 针对样本 2 脱壳分析的 Markdown 技术报告。 | | 📘 [Malware_Sample_2_Unpacking_Analysis_Report.docx](file:///c:/Users/HomePC/Documents/ACO803%20-%20Malware%20Analysis%20and%20Exploit%20Development/Malware_Sample_2_Unpacking_Analysis_Report.docx) | 脱壳分析报告的完全排版 Word 文档版本。 | | 🐍 [analyze.py](file:///c:/Users/HomePC/Documents/ACO803%20-%20Malware%20Analysis%20and%20Exploit%20Development/analyze.py) | 使用 `pefile` 解析 PE 头并提取字符串、熵值和 IAT 的 Python 脚本。 | | 🐍 [generate_docx.py](file:///c:/Users/HomePC/Documents/ACO803%20-%20Malware%20Analysis%20and%20Exploit%20Development/generate_docx.py) | 使用 `python-docx` 生成带有自定义样式和嵌入图表的格式化报告的 Python 脚本。 | | 📁 [images/](file:///c:/Users/HomePC/Documents/ACO803%20-%20Malware%20Analysis%20and%20Exploit%20Development/images) | 报告中使用的生成图表、热力图、映射图和视觉模型。 | ## 🔍 精选项目 ### 项目 1：高级恶意软件静态分析 (`Malware.Unknown.exe`) * **目标：** 对来自 ICDFA 仓库的一个未知 PE32 恶意软件样本进行严格的静态分析。 * **关键发现：** * 识别出这是一个 12 KB、使用 MSVC 14.28 编译的 32 位 Windows 控制台下载器。 * 核实已脱壳，整体 Shannon 熵值为 **5.7191**。 * 包含一个 debug PDB 路径，显示其归属于 **HuskyHacks PMAT** 框架。 * 通过 `IsDebuggerPresent` 实现调试器检测，一旦发现便通过 `TerminateProcess` 退出。 * 利用 WinINet 和 URLMon API 调用（`InternetOpenW` -> `InternetOpenUrlW` -> `URLDownloadToFileW`）进行 payload 下载。 * 使用 `CreateProcessW` 或 `ShellExecuteW` 启动第二阶段 payload。 * **视觉材料：** 包含 IAT 重构图、MalAPI.io 普遍性热力图、行为流程图以及 MITRE ATT&CK 映射矩阵。 ### 项目 2：恶意软件样本 2 脱壳与规避分析 * **目标：** 检查、转储并分析一个加壳/具有规避行为的恶意软件样本及其行为。 * **关键发现：** * 分析了规避机制、虚假警报和宿主机交互行为。 * 重构了感染载体并设计了自定义检测签名（YARA 规则）。 * 总结了入侵指标 (IOC) 并详细说明了修复策略。 ## 🛠️ 自动化工具与脚本 为了简化分析流程，我编写并执行了以下 Python 工具： * **`analyze.py`**：对 PE 文件进行自动化结构检查（节、哈希、熵、目录项、导入 API 和字符串模式）。 * **`generate_docx.py`**：使用自定义样式、底纹和格式化规则，将 Markdown 分析结果和图表动态编译为格式化的、适合管理层阅读的 Microsoft Word (`.docx`) 报告。 *免责声明：所有分析均在安全、隔离且无网络连接的 Windows 10 虚拟机中进行，并严格遵循处理恶意软件的安全协议。*

标签：DAST, DNS 反向解析, Python, 云安全监控, 云资产清单, 安全意识培训, 安全报告, 恶意软件分析, 无后门, 逆向工具, 逆向工程, 静态分析