MarkBoben/Cybersecurity-Intern-Assessment

# LAB_SETUP.md ## 概述 本文档描述了作为网络安全实习生评估的一部分，用于执行恶意软件静态和动态分析的隔离实验室环境。所有分析均在一个受控的、网络隔离的虚拟环境中进行，以防止对生产系统或外部网络造成任何风险。 ## 目录 - [宿主机环境](#host-environment) - [虚拟机配置](#virtual-machine-configuration) - [网络隔离](#network-isolation) - [VM 加固 / 防泄漏设置](#vm-hardening--anti-leak-settings) - [已安装的分析工具](#analysis-tools-installed) - [快照策略](#snapshot-strategy) - [验证步骤](#verification-steps) ## 宿主机环境 - **Hypervisor:** Oracle VirtualBox - **宿主机 OS:** Kali Linux（用于 Wireshark 流量捕获和 Ghidra 逆向工程） - **引爆 VM:** Windows 10 (64-bit) — 用于安全执行和观察恶意软件样本 在 VirtualBox 管理器中并排维护了两台虚拟机：一台用于分析工具的 Kali Linux VM，以及一台专门用于恶意软件引爆的 Windows 10 VM（`MalwareLab-Win10`）。  ## 虚拟机配置 | 设置 | 值 | |---|---| | VM 名称 | MalwareLab-Win10 | | 客户机 OS | Windows 10 (64-bit) | | 基本内存 | 4096 MB | | 处理器 | 3 | | 显存 | 256 MB | | 图形控制器 | VBoxSVGA | | 存储控制器 | SATA | | 磁盘 | MalwareLab-Win10.vdi (Normal, 40.00 GB) | | 加速 | Nested Paging, Hyper-V Paravirtualization | 在引入任何工具或样本之前，已完成 Windows 10 的全新安装并验证其可正确启动。  ## 网络隔离 Windows 分析 VM 的网络适配器配置为使用 **Host-Only Adapter**，而不是 NAT 或桥接网络。这确保 VM 无法访问公共互联网，同时仍允许本地捕获恶意软件试图生成的任何流量。 | 设置 | 值 | |---|---| | 适配器 | Adapter 1 | | 附加到 | Host-only Adapter | | 适配器名称 | VirtualBox Host-Only Ethernet Adapter | | 适配器类型 | Intel PRO/1000 MT Desktop (82540EM) | | 混杂模式 | Deny |  隔离通过在客户机内部使用 `ipconfig` 进行了验证，确认 VM 收到了一个 host-only IP，且未配置默认网关（即没有通往互联网的路径）： ``` IPv4 Address. . . . . . . . . . . : 192.168.56.101 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : ```  缺少默认网关证实了 VM 无法将流量路由到外部，满足了网络隔离要求。 ## VM 加固 / 防泄漏设置 为了降低宿主机和客户机之间意外数据传输的风险，以下 VirtualBox 功能已被明确禁用： | 功能 | 状态 | |---|---| | 共享剪贴板 | Disabled | | 拖放 | Disabled |   宿主机和客户机之间未配置任何共享文件夹，进一步降低了恶意软件逃逸出沙箱环境的风险。 ## 已安装的分析工具 在引入任何恶意软件样本之前，已在 Windows 分析 VM 内部安装了以下免费工具： | 工具 | 用途 | |---|---| | Detect It Easy (DIE) | 文件识别、加壳/混淆检测、熵分析 | | PEStudio | 静态 PE 分析 | | Explorer Suite (CFF Explorer) | PE 头检查 | | HashMyFiles | 文件哈希 | | Process Monitor (Procmon) | 实时文件系统 / 注册表 / 进程活动监控 | | Strings | 字符串提取 | | Process Hacker | 实时进程、服务和网络检查 | | RegShot | 注册表/文件系统基线比较（之前/之后快照） | | Wireshark | 网络流量捕获（从 Kali 宿主机运行，观察 host-only 网段） |  ## 快照策略 在关键检查点拍摄了快照，以便在每次样本引爆前后将 VM 恢复到已知的干净状态： 1. **全新安装** — 在 Windows 安装后立即拍摄，在任何工具添加之前。 2. **已安装工具** — 在所有分析工具安装并验证工作正常后拍摄，在任何样本引入之前。 此快照策略确保每个恶意软件样本都在相同、未受污染的基线上进行分析，并允许在样本之间重置环境，以避免结果交叉污染。 ## 验证步骤 在继续进行样本获取和分析之前，已确认以下内容： - [x] Windows 10 VM 干净启动 - [x] 网络适配器设置为 Host-Only（无互联网访问） - [x] `ipconfig` 确认无默认网关 / 无外部路由 - [x] 共享剪贴板已禁用 - [x] 拖放已禁用 - [x] 未配置共享文件夹 - [x] 所有必需的分析工具已安装且可访问 - [x] 在任何样本执行之前已拍摄基线快照 随着实验室环境被隔离、加固和验证，该环境被认为已准备好进行恶意软件样本获取和分析（参见 `STATIC_ANALYSIS_REPORT.md` 和 `DYNAMIC_ANALYSIS_REPORT.md`）。

标签：DAST, 云安全监控, 云资产清单, 安全, 恶意软件分析, 网络安全实验室, 虚拟化沙箱, 超时处理, 逆向工程, 静态分析