Asterioxer/Malware-Analysis

# 恶意软件分析与检测工程实验室 这是我的 **75 天冲刺 DEFCON** 挑战的一部分 —— 致力于构建一条完整的 pipeline： **恶意软件样本 → 静态/动态分析 → IOC 提取 → 云端 SIEM 检测规则 → 自动化**。 ## 目标 - 为静态和动态恶意软件分析建立一套扎实的工作流 - 部署基于云的 SIEM（Wazuh/ELK）并编写自定义检测规则（Sigma） - 构建自动化流程，将分析输出转化为可部署的检测规则 - 将整个过程记录为一个公开的作品集项目 ## 工具集 - **静态分析:** `radare2`, `binwalk`, `yara`, `pefile`, `exiftool`, `ssdeep` - **信誉/动态分析:** VirusTotal, Hybrid Analysis (Falcon Sandbox) - **样本:** MalwareBazaar (abuse.ch) - **检测（规划中）:** Wazuh/ELK, Sigma 规则 - **自动化（规划中）:** Python (样本摄取, IOC 提取, 规则生成) ## 仓库结构 ``` malware-analysis-lab/ ├── README.md └── samples/ └── sample1-xworm/ ├── notes.md # full analysis writeup ├── hash.txt # SHA256 only (no binaries hosted) └── screenshots/ # tool output, VT/HA reports ``` ## 进度日志 | 天数 | 样本 | 家族 | 备注 | |---|---|---|---| | 1 | `ba3ae937...82db7` | XWorm RAT | [详细分析](samples/sample1-xworm/notes.md) | ## 路线图 - [x] **阶段 1 (第 1–21 天):** 恶意软件分析实验室 —— 静态/动态分析工作流，IOC 提取 - [ ] **阶段 2 (第 22–45 天):** 云端 SIEM 部署 + Sigma 检测规则 - [ ] **阶段 3 (第 46–63 天):** 自动化 —— 样本摄取 → IOC 提取 → 检测规则生成 - [ ] **阶段 4 (第 64–75 天):** 完善、撰写文档、演示 持续跟进：`#75HARD` 挑战 —— DEFCON 是终点线。

标签：DAST, 云安全监控, 合规性检查, 恶意软件分析, 网络调试, 自动化, 逆向工具, 静态分析