MalwareAnalysisLabs/malware-analysis-fundamentals

# 恶意软件分析基础 关于恶意软件分析方法的笔记和文章——包括分类、四种核心分析技术，以及如何在接触任何可疑二进制文件之前设置一个安全的、隔离的实验室。 📄 Dev.to 上的完整文章：[理解恶意软件分析：类型、方法论与实验室设置基础](https://dev.to/almahmudkhalif/understanding-malware-analysis-types-methodology-and-lab-setup-fundamentals-2179) ## 为什么会有这个仓库 大多数恶意软件分析教程直接跳到了工具使用——“如何使用 Ghidra”、“如何使用 Process Monitor”——却没有涵盖选择静态分析与动态分析背后的*原因*，或者*如何*构建一个不会使你的真实网络面临风险的实验室。 这个仓库保存了我关于这一基础层面的笔记：正是这些内容，让你在学习特定工具的指南时能够真正豁然开朗。 ## 包含内容 - **恶意软件分类** —— 病毒、蠕虫和木马，以及现实世界的例子（Melissa、Code Red、Stuxnet） - **痛苦金字塔** —— 为什么某些入侵指标比其他指标对防御者更有价值 - **四种类型的恶意软件分析** —— 静态、动态、代码和内存分析，以及何时使用它们 - **安全实验室设置原则** —— 隔离、快照、反分析意识，以及安全处理外部连接 ## 涵盖的核心概念 ### 恶意软件类型 | 类型 | 传播方式 | 需要人工操作？ | |---|---|---| | Virus | 执行受感染的文件/媒体 | 是 | | Worm | 直接利用漏洞 | 否 | | Trojan | 用户下载/复制伪装的文件 | 是 | ### 四种分析方法 ``` 1. Static Analysis → Examine without executing 2. Dynamic Analysis → Execute in isolation, observe behavior 3. Code Analysis → Disassemble/debug to understand internals 4. Memory Analysis → Inspect RAM for forensic artifacts ``` ### 实验室隔离基础 ``` Laboratory Network — isolated, host-only ├── Windows VM (analysis workstation) └── Linux VM (REMnux) ``` 没有生产网络访问权限，没有直接的互联网连接，每次运行后进行基于快照的回滚。 ## 关键要点 恶意软件分析主要不是为了记住工具命令——它是一个决策框架。从静态分析开始（低成本、低风险），转向动态分析（真实行为），当需要指令级别的细节时深入代码分析，并在样本试图保持隐形时使用内存分析。实验室隔离不是在此基础上的可选项——它是安全地进行任何这些操作的前提条件。 ## 阅读完整文章 完整的文章——包含痛苦金字塔的详细分解、传播技术、静态分析检查清单以及常见错误的完整表格——在 Dev.to 上： 👉 [理解恶意软件分析：类型、方法论与实验室设置基础](https://dev.to/almahmudkhalif/understanding-malware-analysis-types-methodology-and-lab-setup-fundamentals-2179) ## 🌐 与我联系 [](https://www.linkedin.com/in/almahmudkhalif/) [](https://dev.to/almahmudkhalif/)

标签：DAST, 云资产清单, 合规性检查, 学习笔记, 恶意软件分析, 逆向工程, 防御加固