berilustaoglu/Malware-Lab

# 🦹‍♂️ 恶意软件分析实验室搭建指南 本仓库包含了一份全面、循序渐进的文档，用于使用 VirtualBox 搭建一个安全、隔离且专业的**恶意软件分析实验室**。 该实验室的主要目标是在不危及宿主机或本地网络的前提下，安全地对具有潜在危险的恶意软件样本进行静态和动态分析。 ## 🛠️ 架构与组件 该实验室由两台配置在封闭内部网络中的主要虚拟机（VM）组成： 1. **靶机（FLARE-VM / Windows 10）：** 预装了逆向工程和恶意软件分析工具（例如 x64dbg、Ghidra、Process Hacker、Wireshark）的 Windows 环境。 2. **分析/网关机（REMnux）：** 专为恶意软件分析设计的 Linux 发行版，用作隔离网关，通过 **INetSim** 等工具模拟互联网服务（DNS、HTTP）。 ## 🔒 第 1 步：网络隔离（关键防御） 为了确保没有恶意软件泄漏到您的家庭网络或宿主机中，我们使用了严格的**内部网络**配置。 1. 在 VirtualBox 中创建一个新的**内部网络**（命名为 `MalwareLab`）。 2. 对于两台虚拟机，进入 **设置** -> **网络**： - 连接方式：`内部网络` - 名称：`MalwareLab` - 混杂模式：`全部允许` 3. **禁用**宿主机与客户机之间任何共享文件夹、共享剪贴板或拖放功能。 ## 📥 第 2 步：网关配置（REMnux & INetSim） 恶意软件通常会尝试连接命令与控制（C2）服务器。我们将使用 REMnux 伪造互联网连接。 1. 在 VirtualBox 中部署 **REMnux** OVA 模板。 2. 为内部网络中的 REMnux 配置静态 IP： - IP 地址：`10.0.0.1` - 子网掩码：`255.255.255.0` 3. 启动 **INetSim** 服务以伪造 HTTP、HTTPS 和 FTP 服务： sudo inetsim 4. 在 REMnux 上启动 **Wireshark**，以监控来自靶机的所有网络流量。 ## 💻 第 3 步：靶机设置（FLARE-VM） 1. 安装一台全新的 **Windows 10 Enterprise** 虚拟机。 2. 配置静态 IP，将所有流量路由至 REMnux 网关： - IP 地址：`10.0.0.2` - 子网掩码：`255.255.255.0` - 默认网关：`10.0.0.1`（REMnux IP） - 首选 DNS 服务器：`10.0.0.1`（REMnux IP） 3. 从 Mandiant 下载并运行 **FLARE-VM** 安装脚本以安装分析工具。 ## 📸 第 4 步：验证与快照 1. 在 FLARE-VM 内打开浏览器并尝试访问一个随机的网站（例如 `://evil-malware-domain.com`）。 2. 您应该会看到 **INetSim 默认 HTML 页面**，这证明网络已被成功伪造并隔离。 3. ⚠️ **关键步骤：** 关闭两台虚拟机并拍摄一个**快照**（例如命名为 `Clean_State`）。这允许您在执行恶意软件样本后，立即将机器恢复到干净的状态。 ## 📜 免责声明 本文档仅供教育和专业安全研究目的使用。分析恶意软件具有固有风险。对于因实验室隔离不当造成的任何损害，作者概不负责。

标签：DAST, IP 地址批量处理, 云资产清单, 安全, 恶意软件分析, 沙箱环境, 网络信息收集, 虚拟化环境, 超时处理, 逆向工程