Sujith-Taridalu/malware-analysis-pipeline
GitHub: Sujith-Taridalu/malware-analysis-pipeline
一个脱敏的防御性恶意软件分析与逆向工程作品集,涵盖静态分析、动态分析、逆向工程全流程,并附带自定义 Python 字符串提取工具。
Stars: 0 | Forks: 0
# 恶意软件分析流程
这是一个经过脱敏处理的防御性恶意软件分析与逆向工程作品集项目,基于 Windows PE32 Mass Logger 风格的案例研究、一个自定义的 Python 字符串筛查工具,以及 70 多个 CTF 风格的恶意软件分析练习构建而成。
## 本项目展示的内容
- 使用哈希、PE 元数据、加壳检查、字符串、导入表以及 Windows API 能力映射进行静态恶意软件筛查
- 使用 Ghidra 检查可疑函数引用和反编译逻辑的逆向工程工作流
- 在受控实验室环境中使用 x32dbg、ProcMon、Wireshark 和 INetSim 进行动态分析工作流
- 主机行为分析,涵盖文件活动、注册表访问、自身文件交互、DLL 加载和持久化检查
- 网络行为分析,涵盖连接性检查、SSDP/WS-Discovery、本地发现以及 C2/非 C2 判读
- 通过 Python/Tkinter 字符串提取器实现的分析师工具,可将所有字符串与可疑字符串分离开来
- 来源于 70 多个 CTF 风格恶意软件分析练习的经验背景,仅作总结,未发布挑战二进制文件或受保护的答案
## 仓库结构
```
.
├── README.md
├── docs/
│ ├── executive-summary.md
│ ├── masslogger-case-study.md
│ ├── static-analysis.md
│ ├── reverse-engineering-notes.md
│ ├── dynamic-analysis.md
│ ├── network-host-behavior.md
│ ├── remediation-playbook.md
│ ├── ctf-analysis-experience.md
│ ├── evidence-gallery.md
│ ├── screenshot-guide.md
│ ├── redaction-and-publication-checklist.md
│ ├── visuals/
│ │ ├── analysis-workflow.svg
│ │ ├── behavior-summary.svg
│ │ ├── lab-architecture.svg
│ │ └── ctf-experience-map.svg
│ └── screenshots/
│ ├── README.md
│ ├── ghidra-function-analysis.jpg
│ ├── ghidra-function-analysis.svg
│ └── malware-tool-evidence-gallery.jpg
├── tools/
│ └── malware_string_extractor.py
└── data/
├── behavior-map.csv
├── ioc-summary.csv
└── toolchain.csv
```
## 作品集简述
本项目模拟了分析师安全调查可疑 Windows 可执行文件的工作流。工作从样本筛查和加壳检查开始,然后进入静态分析、基于 Ghidra 的函数审查、沙箱动态执行、主机/网络观察,以及面向响应的清理建议。
原始报告包含了来自 PE Detective、PEiD、Strings.exe、CFF Explorer、Ghidra、Wireshark、ProcMon、x32dbg 以及自定义字符串提取器 GUI 的截图。本仓库使用脱敏的视觉证据和截图指引来代替原始报告页面。
## 视觉概览
## 证据图库
该仓库包含一个对公众安全的证据图库,并附有以下内容的精选注释:
- PE Detective / PEiD 加壳筛查
- Strings.exe 和 AutoIt 指示符
- CFF Explorer 导入表审查
- Ghidra 函数分析
- Wireshark / INetSim 网络流量审查
- ProcMon 主机活动审查
- x32dbg 断点验证
- Python 字符串提取器 GUI 输出
参见 [`docs/evidence-gallery.md`](docs/evidence-gallery.md)。
## 案例研究的主要发现
| 领域 | 发现 | 防御意义 |
|---|---|---|
| 加壳筛查 | PE Detective 和 PEiD 未指示出常见的加壳器。 | 静态分析无需手动脱壳即可进行。 |
| 字符串 | 出现了 AutoIt 指示符、注册表字符串、网络字符串以及与 GUI 相关的术语。 | 样本表现出类似脚本的行为和可疑的能力暗示。 |
| 导入表 | 存在文件、进程、内存、注册表、UI、HTTP、socket 和反分析 API。 | 导入表表明其具备的能力比有限的运行时活动所展现的要更广泛。 |
| Ghidra | 审查了一个引用 `CreateFileW` 和 `DeviceIoControl` 的函数。 | 该函数表明存在值得深入分析的低级文件/设备交互。 |
| 网络 | 观察到 HTTP 连接性检查和本地发现流量。 | 样本似乎在验证连接性并枚举本地服务。 |
| 主机行为 | 观察到注册表读取和 DLL 加载;在捕获的运行中未确认有持久化行为。 | 清理工作可集中在终止进程、移除二进制文件和验证扫描上。 |
| 工具 | 创建了一个 Python GUI 字符串提取器。 | 将重复的字符串筛查自动化,以加快未来的分析速度。 |
## CTF 恶意软件分析经验
我已经完成了 70 多个 CTF 风格的恶意软件分析练习。出于公共安全和挑战完整性的考虑,本仓库不发布挑战二进制文件、flag、受保护的答案或完整的解题过程。相反,它总结了所培养的技能:筛查、字符串分析、导入表/API 映射、去混淆推理、调试器验证、IOC 提取以及简洁的报告编写。
## 辅助工具
该仓库包含一个 Python/Tkinter 实用程序,它可以:
- 从选定的二进制文件中提取 ASCII 和 UTF-16LE 字符串;
- 使用可配置的关键字过滤可疑指示符;
- 将输出分离到 `All Strings` 和 `Suspicious Strings` 选项卡中;
- 支持手动保存提取结果以供分析师记录。
## 展示的技能
`Malware Analysis` `Reverse Engineering` `Static Analysis` `Dynamic Analysis` `Windows API Analysis` `Ghidra` `x32dbg` `ProcMon` `Wireshark` `INetSim` `PE Analysis` `IOC Identification` `CTF Malware Analysis` `Incident Response Reasoning` `Python Tooling`
## 我在面试中会如何解释这些
标签:DAST, Python, 云安全监控, 云资产清单, 安全演练, 恶意软件分析, 无后门, 逆向工具, 逆向工程, 静态分析