HeyLach/malware-analysis-review

GitHub: HeyLach/malware-analysis-review

一套涵蓋靜態分析、動態分析、逆向工程、威脅情報與事件應變的惡意軟體分析離線複習手冊,以純 HTML 網頁形式提供結構化的知識卡片速查。

Stars: 0 | Forks: 0

# 🦠 病毒分析複習手冊 - 完整版 現代惡意軟體分析與威脅情報綜合資源庫,涵蓋靜態、動態、逆向、供應鏈、漏洞利用、威脅狩獵等多個維度。 ## 📚 網站導覽 ### 核心分析模組(主頁) - **index.html** - 複習手冊主頁面,包含: - 靜態分析:PE 結構、Import API、Entropy、Packer、YARA - 動態分析:Procmon、Process Explorer、持久化機制、LOLBins - 逆向工程:暫存器、組語、解密、Anti-debug/VM、Process injection - 工具速查:30+ 分析工具速查表 ### 威脅與情報(7 個專題頁面) #### 1️⃣ **malware-families.html** - 近期熱門惡意軟體家族 包含 2024-2026 年活躍威脅: - **銀行木馬**:Emotet、QBot、Trickbot (含變形、API、ATT&CK 對應) - **勒索軟體**:LockBit 3.0、BlackCat (ALPHV)、Clop (含 0-day 供應鏈案例) - **資訊竊賊**:Vidar、Lumma C2、RedLine (含竊取功能詳解) - **載體/載入器**:Bumblebee、Latrodectus - **行動威脅**:Android TeaPot、macOS XData - **Linux 威脅**:XorDdos、Mirai 變體 - **關鍵 0-day**:CVE-2024-1086、MOVEit、Citrix 等利用鏈 #### 2️⃣ **advanced-analysis.html** - 進階分析與對抗技術 - **IOC 提取與威脅情報管理**:8 種 IOC 類型、驗證平台 - **混淆與加密手法**:代碼混淆、API 隱藏、字串加密、解密迴圈 - **Sandbox & VM 偵測**:常見檢測技術、對抗方法 (ScyllaHide) - **記憶體分析**:Volatility、PE-Sieve、Hollows Hunter - **事件日誌審計**:Sysmon、PowerShell、取證 - **MITRE ATT&CK 映射**:10 階段攻擊鏈完整對應 - **完整分析報告模板** #### 3️⃣ **threat-hunting.html** - 威脅狩獵與事件應變 - **狩獵假設與週期**:從假設到根除的 6 階段 - **狩獵查詢與規則**: - Process Injection 檢測 (Sysmon/KQL) - DNS Tunneling 狩獵 (異常模式識別) - LOLBins 濫用偵測 (PowerShell/certutil/regsvr32) - **事件應變 Playbook**:NIST 6 階段詳細流程 - **取證檢查清單**:優先順序與關鍵位置 - **狩獵工具集**:SIEM (Splunk/ELK/Sentinel)、EDR、SIGMA、OSQUERY #### 4️⃣ **supply-chain.html** - 供應鏈攻擊與軟體妥協 - **攻擊分類**:Open source 投毒、Build system 入侵、Dependency 污染、簽章濫用 - **案例研究**: - MOVEit Transfer 0-day → Clop 勒索軟體 (完整攻擊鏈) - 3CX Desktop App - DLL Sideloading 妥協 (簽章濫用) - **SBOM 管理**:軟體物料清單格式 (SPDX/CycloneDX)、漏洞檢查工具 - **代碼簽章驗證**:信任鏈、廢撤檢查、欺騙檢測 - **廠商風險評級**:安全政策評估、合規性檢查 - **狩獵規則**:異常簽章檢測、IoC 狩獵 #### 5️⃣ **exploit-chain.html** - 漏洞利用鏈分析 - **利用鏈基礎**:5 階段 (初始存取→特權提升→持久化→橫向移動→影響) - **實戰案例**: - CVE-2024-1086 (Linux kernel UAF) → Root privilege escalation - CVE-2024-21893 (Citrix RCE) → Windows LPE 串聯 (域妥協) - Browser 沙箱逃逸鏈 (Pwn2Own 風格) - **漏洞二進制逆向**:Bindiff、Gadget 搜尋、ROP chain 構造 - **漏洞信息來源**:NVD、ZDI、ExploitDB、Shodan、責任披露流程 - **多層防禦**:修補優先級、行為簽名、異常檢測 #### 6️⃣ **mobile-malware.html** - 移動惡意軟體深度分析 - **Android 基礎**:APK 結構、簽章驗證、危險權限分類 - **Anubis Banking Trojan**:鍵盤記錄、簽名截圖、FAT 繞過、Device Admin 提升 - **Flubot / Cabassous**:最新變體、多層混淆、Firebase 通訊、自我更新 - **iOS 分析**:Mach-O binary 逆向、越獄環境、XcodeGhost 供應鏈、Pegasus 案例 - **動態分析工具**:Frida (函數 hooking)、MobSF、Burp Suite、mitmproxy - **檢測防禦**:行為分析、權限審計、簽章驗證、最佳實踐 ## 🔧 使用方法 ### 在線瀏覽 1. 在瀏覽器中開啟 `index.html` 2. 使用頂部導航切換不同分析模組 3. 點擊卡片展開詳細內容 4. 使用搜尋功能(主頁)快速查詢 ### 離線使用 - 所有文件為純 HTML + CSS,無依賴 - 支援所有現代瀏覽器(Chrome、Firefox、Safari、Edge) - 無需網路連接即可使用 ### 推薦使用場景 ✓ CTF 賽事快速參考 ✓ 企業紅隊/藍隊培訓 ✓ 安全工程師日常查詢 ✓ 事件應變 SOP 檢查清單 ✓ 漏洞管理與威脅狩獵規則 ## 📊 內容統計 | 模組 | 卡片數 | 主要內容 | |------|--------|---------| | 主頁 | 35+ | 靜態、動態、逆向、工具 | | 威脅情報 | 12+ | 惡意軟體家族、變體、API、IoC | | 進階分析 | 8+ | IOC 管理、混淆、記憶體、ATT&CK | | 威脅狩獵 | 6+ | 假設驗證、查詢、事件應變 | | 供應鏈 | 6+ | 攻擊分類、SBOM、簽章驗證 | | 漏洞利用 | 5+ | 利用鏈、CVE 分析、逆向技巧 | | 行動分析 | 7+ | APK 結構、惡意軟體、工具 | **總計:79+ 個知識卡片,涵蓋 15+ 實戰案例** ## 🎯 知識架構 病毒分析複習手冊 ├── 基礎分析技能 │ ├── 靜態分析(PE/ELF/DEX 結構) │ ├── 動態分析(Procmon/監控) │ └── 逆向工程(x86/ARM 組語) ├── 威脅情報 │ ├── 惡意軟體家族識別 │ ├── IoC 提取與驗證 │ └── 2024-2026 最新威脅 ├── 進階技術 │ ├── 混淆與加密繞過 │ ├── 記憶體取證 │ └── MITRE ATT&CK 對應 └── 實戰應用 ├── 供應鏈安全 ├── 漏洞利用鏈分析 ├── 移動平台安全 └── 威脅狩獵與事件應變 ## 📖 推薦閱讀順序 **初學者:** 1. index.html - 靜態分析 & 動態分析 2. malware-families.html - 認識常見威脅 3. mobile-malware.html - 了解移動平台 **進階者:** 1. advanced-analysis.html - IOC & 反分析技術 2. exploit-chain.html - 漏洞利用深度 3. threat-hunting.html - 狩獵與應變流程 **紅藍對抗:** 1. supply-chain.html - 攻擊者視角 2. exploit-chain.html - 利用開發 3. threat-hunting.html - 防禦側狩獵 ## ⚠️ 免責聲明 本資源用於: - ✅ 合法安全研究 - ✅ 企業內部防禦 - ✅ CTF / 教育目的 - ✅ 授權滲透測試 禁止用於: - ❌ 非授權系統入侵 - ❌ 惡意軟體開發或傳播 - ❌ 個人隱私侵犯 - ❌ 非法活動 ## 🔗 參考資源 - **MITRE ATT&CK Framework** - https://attack.mitre.org - **CVE 數據庫** - https://nvd.nist.gov - **Shodan** - https://shodan.io (IP/設備掃描) - **VirusTotal** - https://virustotal.com (樣本檢測) - **Any.run** - https://any.run (沙箱分析) - **SIGMA Rules** - https://github.com/SigmaHQ/sigma - **OWASP** - https://owasp.org **最後更新:2026年6月27日** **涵蓋威脅情報截至:2025年2月**
标签:ATT&CK框架, DAST, DNS 反向解析, 云资产清单, 后端开发, 多模态安全, 威胁情报, 安全培训资料, 开发者工具, 恶意软件分析, 网络信息收集, 逆向工程