MalwareAnalysisLabs/brbbot-malware-analysis

GitHub: MalwareAnalysisLabs/brbbot-malware-analysis

以 brbbot.exe 为样本的 Windows 恶意软件端到端分析实战演练,展示了如何将多种安全工具串联完成系统化调查。

Stars: 0 | Forks: 0

# brbbot.exe 恶意软件分析实战演练 一份用于分析 Windows 恶意软件样本 (`brbbot.exe`) 的端到端方法论演练 —— 涵盖静态属性分析、实时行为观察、网络流量拦截、通过调试器进行配置解密以及命令与控制 (C2) 实验。 📄 Dev.to 上的完整文章:[对活体样本的逆向工程:brbbot.exe 实战演练](https://dev.to/almahmudkhalif/reverse-engineering-a-live-specimen-a-practical-walkthrough-of-brbbotexe-static-behavioral-3492) ## 本仓库存在的原因 大多数恶意软件分析指南都是孤立地介绍某个工具 —— 比如 Wireshark 是如何工作的,x64dbg 是如何工作的 —— 却没有展示如何将这些工具串联起来进行综合调查。本仓库记录了这一链条:通过静态分析形成假设,通过行为分析进行验证,通过网络拦截加以确认,并在需要获取特定代码路径的确凿证据时使用调试器。 ## 内容概要 - **实验环境设置** —— REMnux 虚拟机与 Windows 虚拟机之间隔离的仅主机网络 - **静态属性分析** —— 在执行前提取字符串并进行异常检测 - **行为分析** —— 在实时感染期间监控进程、注册表和文件系统 - **网络拦截** —— 通过 DNS 欺骗和 HTTP 流量捕获来揭露 C2 通信 - **配置解密** —— 使用 x64dbg 在 `ReadFile` 和 `CryptDecrypt` 处设置断点,以恢复明文配置 - **C2 实验** —— 下发远程命令 (`cexe`, `tixe`) 以确认双向控制 ## 分析链概览 ``` Static Analysis → form a hypothesis (strings, imports, anomalies) Behavioral Analysis → test it (process/registry/file activity) Network Interception → confirm it (DNS, HTTP, encoded payload) Code Analysis (x64dbg) → ground truth (decrypted config, decode logic) C2 Experimentation → validate the channel is bidirectional, not just exfiltration ``` ## 实验网络拓扑 ``` REMnux VM → static IP, e.g. 192.168.56.10 Windows VM → static IP, e.g. 192.168.56.20 (host-only network, isolated from production/internet) ``` 两台虚拟机在设置完成后均立即保存了干净状态的快照 —— 每次感染循环的开启和结束都会回滚到该快照。 ## 涉及的工具 | 阶段 | 工具 | |---|---| | 静态分析 | `pestr`, BinText, PeStudio, `peframe` | | 行为分析 | Process Hacker, Process Monitor, Regshot, ProcDOT | | 网络拦截 | Wireshark, fakedns, 基础 HTTP 服务器 | | 代码分析 | x64dbg | | Payload 解码 | `xxd`, 自定义 XOR 转换脚本 | ## 核心要点 这条链条中的每一个阶段都是为了验证前一阶段的假设。在 `ReadFile` 上设置断点并不只是为了关注那一次 API 调用 —— 它是在恶意软件内部逻辑与可观察的操作系统行为之间的边界上设置的一个触发器。这种思维方式可以很好地推广到其他样本之外的情况。 ## 阅读完整文章 完整的演练 —— 包含详细的命令序列、调试器步骤以及常见错误汇总表 —— 位于 Dev.to: 👉 [对活体样本的逆向工程:brbbot.exe 实战演练](https://dev.to/almahmudkhalif/reverse-engineering-a-live-specimen-a-practical-walkthrough-of-brbbotexe-static-behavioral-3492) ## 🌐 与我联系 [![LinkedIn](https://img.shields.io/badge/LinkedIn-Connect-blue?logo=linkedin)](https://www.linkedin.com/in/almahmudkhalif/) [![Dev.to](https://img.shields.io/badge/Dev.to-Articles-black?logo=devdotto)](https://dev.to/almahmudkhalif/)
标签:DAST, 云资产清单, 恶意软件分析, 网络流量分析, 逆向工程