HeyLach/malware-analysis-review
GitHub: HeyLach/malware-analysis-review
一套涵蓋靜態分析、動態分析、逆向工程、威脅情報與事件應變的惡意軟體分析離線複習手冊,以純 HTML 網頁形式提供結構化的知識卡片速查。
Stars: 0 | Forks: 0
# 🦠 病毒分析複習手冊 - 完整版
現代惡意軟體分析與威脅情報綜合資源庫,涵蓋靜態、動態、逆向、供應鏈、漏洞利用、威脅狩獵等多個維度。
## 📚 網站導覽
### 核心分析模組(主頁)
- **index.html** - 複習手冊主頁面,包含:
- 靜態分析:PE 結構、Import API、Entropy、Packer、YARA
- 動態分析:Procmon、Process Explorer、持久化機制、LOLBins
- 逆向工程:暫存器、組語、解密、Anti-debug/VM、Process injection
- 工具速查:30+ 分析工具速查表
### 威脅與情報(7 個專題頁面)
#### 1️⃣ **malware-families.html** - 近期熱門惡意軟體家族
包含 2024-2026 年活躍威脅:
- **銀行木馬**:Emotet、QBot、Trickbot (含變形、API、ATT&CK 對應)
- **勒索軟體**:LockBit 3.0、BlackCat (ALPHV)、Clop (含 0-day 供應鏈案例)
- **資訊竊賊**:Vidar、Lumma C2、RedLine (含竊取功能詳解)
- **載體/載入器**:Bumblebee、Latrodectus
- **行動威脅**:Android TeaPot、macOS XData
- **Linux 威脅**:XorDdos、Mirai 變體
- **關鍵 0-day**:CVE-2024-1086、MOVEit、Citrix 等利用鏈
#### 2️⃣ **advanced-analysis.html** - 進階分析與對抗技術
- **IOC 提取與威脅情報管理**:8 種 IOC 類型、驗證平台
- **混淆與加密手法**:代碼混淆、API 隱藏、字串加密、解密迴圈
- **Sandbox & VM 偵測**:常見檢測技術、對抗方法 (ScyllaHide)
- **記憶體分析**:Volatility、PE-Sieve、Hollows Hunter
- **事件日誌審計**:Sysmon、PowerShell、取證
- **MITRE ATT&CK 映射**:10 階段攻擊鏈完整對應
- **完整分析報告模板**
#### 3️⃣ **threat-hunting.html** - 威脅狩獵與事件應變
- **狩獵假設與週期**:從假設到根除的 6 階段
- **狩獵查詢與規則**:
- Process Injection 檢測 (Sysmon/KQL)
- DNS Tunneling 狩獵 (異常模式識別)
- LOLBins 濫用偵測 (PowerShell/certutil/regsvr32)
- **事件應變 Playbook**:NIST 6 階段詳細流程
- **取證檢查清單**:優先順序與關鍵位置
- **狩獵工具集**:SIEM (Splunk/ELK/Sentinel)、EDR、SIGMA、OSQUERY
#### 4️⃣ **supply-chain.html** - 供應鏈攻擊與軟體妥協
- **攻擊分類**:Open source 投毒、Build system 入侵、Dependency 污染、簽章濫用
- **案例研究**:
- MOVEit Transfer 0-day → Clop 勒索軟體 (完整攻擊鏈)
- 3CX Desktop App - DLL Sideloading 妥協 (簽章濫用)
- **SBOM 管理**:軟體物料清單格式 (SPDX/CycloneDX)、漏洞檢查工具
- **代碼簽章驗證**:信任鏈、廢撤檢查、欺騙檢測
- **廠商風險評級**:安全政策評估、合規性檢查
- **狩獵規則**:異常簽章檢測、IoC 狩獵
#### 5️⃣ **exploit-chain.html** - 漏洞利用鏈分析
- **利用鏈基礎**:5 階段 (初始存取→特權提升→持久化→橫向移動→影響)
- **實戰案例**:
- CVE-2024-1086 (Linux kernel UAF) → Root privilege escalation
- CVE-2024-21893 (Citrix RCE) → Windows LPE 串聯 (域妥協)
- Browser 沙箱逃逸鏈 (Pwn2Own 風格)
- **漏洞二進制逆向**:Bindiff、Gadget 搜尋、ROP chain 構造
- **漏洞信息來源**:NVD、ZDI、ExploitDB、Shodan、責任披露流程
- **多層防禦**:修補優先級、行為簽名、異常檢測
#### 6️⃣ **mobile-malware.html** - 移動惡意軟體深度分析
- **Android 基礎**:APK 結構、簽章驗證、危險權限分類
- **Anubis Banking Trojan**:鍵盤記錄、簽名截圖、FAT 繞過、Device Admin 提升
- **Flubot / Cabassous**:最新變體、多層混淆、Firebase 通訊、自我更新
- **iOS 分析**:Mach-O binary 逆向、越獄環境、XcodeGhost 供應鏈、Pegasus 案例
- **動態分析工具**:Frida (函數 hooking)、MobSF、Burp Suite、mitmproxy
- **檢測防禦**:行為分析、權限審計、簽章驗證、最佳實踐
## 🔧 使用方法
### 在線瀏覽
1. 在瀏覽器中開啟 `index.html`
2. 使用頂部導航切換不同分析模組
3. 點擊卡片展開詳細內容
4. 使用搜尋功能(主頁)快速查詢
### 離線使用
- 所有文件為純 HTML + CSS,無依賴
- 支援所有現代瀏覽器(Chrome、Firefox、Safari、Edge)
- 無需網路連接即可使用
### 推薦使用場景
✓ CTF 賽事快速參考
✓ 企業紅隊/藍隊培訓
✓ 安全工程師日常查詢
✓ 事件應變 SOP 檢查清單
✓ 漏洞管理與威脅狩獵規則
## 📊 內容統計
| 模組 | 卡片數 | 主要內容 |
|------|--------|---------|
| 主頁 | 35+ | 靜態、動態、逆向、工具 |
| 威脅情報 | 12+ | 惡意軟體家族、變體、API、IoC |
| 進階分析 | 8+ | IOC 管理、混淆、記憶體、ATT&CK |
| 威脅狩獵 | 6+ | 假設驗證、查詢、事件應變 |
| 供應鏈 | 6+ | 攻擊分類、SBOM、簽章驗證 |
| 漏洞利用 | 5+ | 利用鏈、CVE 分析、逆向技巧 |
| 行動分析 | 7+ | APK 結構、惡意軟體、工具 |
**總計:79+ 個知識卡片,涵蓋 15+ 實戰案例**
## 🎯 知識架構
病毒分析複習手冊
├── 基礎分析技能
│ ├── 靜態分析(PE/ELF/DEX 結構)
│ ├── 動態分析(Procmon/監控)
│ └── 逆向工程(x86/ARM 組語)
├── 威脅情報
│ ├── 惡意軟體家族識別
│ ├── IoC 提取與驗證
│ └── 2024-2026 最新威脅
├── 進階技術
│ ├── 混淆與加密繞過
│ ├── 記憶體取證
│ └── MITRE ATT&CK 對應
└── 實戰應用
├── 供應鏈安全
├── 漏洞利用鏈分析
├── 移動平台安全
└── 威脅狩獵與事件應變
## 📖 推薦閱讀順序
**初學者:**
1. index.html - 靜態分析 & 動態分析
2. malware-families.html - 認識常見威脅
3. mobile-malware.html - 了解移動平台
**進階者:**
1. advanced-analysis.html - IOC & 反分析技術
2. exploit-chain.html - 漏洞利用深度
3. threat-hunting.html - 狩獵與應變流程
**紅藍對抗:**
1. supply-chain.html - 攻擊者視角
2. exploit-chain.html - 利用開發
3. threat-hunting.html - 防禦側狩獵
## ⚠️ 免責聲明
本資源用於:
- ✅ 合法安全研究
- ✅ 企業內部防禦
- ✅ CTF / 教育目的
- ✅ 授權滲透測試
禁止用於:
- ❌ 非授權系統入侵
- ❌ 惡意軟體開發或傳播
- ❌ 個人隱私侵犯
- ❌ 非法活動
## 🔗 參考資源
- **MITRE ATT&CK Framework** - https://attack.mitre.org
- **CVE 數據庫** - https://nvd.nist.gov
- **Shodan** - https://shodan.io (IP/設備掃描)
- **VirusTotal** - https://virustotal.com (樣本檢測)
- **Any.run** - https://any.run (沙箱分析)
- **SIGMA Rules** - https://github.com/SigmaHQ/sigma
- **OWASP** - https://owasp.org
**最後更新:2026年6月27日**
**涵蓋威脅情報截至:2025年2月**
标签:ATT&CK框架, DAST, DNS 反向解析, 云资产清单, 后端开发, 多模态安全, 威胁情报, 安全培训资料, 开发者工具, 恶意软件分析, 网络信息收集, 逆向工程