emretiramis/Dynamic-Malware-Analysis-Checklist
GitHub: emretiramis/Dynamic-Malware-Analysis-Checklist
一份系统化的动态恶意软件分析检查清单,为安全分析师在受控环境中执行和分析恶意样本时提供覆盖进程、网络、注册表和文件四大维度的标准化操作参考。
Stars: 0 | Forks: 0
# 动态恶意软件分析 — 检查清单
一份用于执行动态恶意软件分析时的快速参考检查清单——即在受控环境中实际执行样本,并观察其在操作系统上的活动。
## 1. 进程活动
**目标:** 识别由恶意软件创建的进程,并追踪它们执行的所有操作。
- [ ] 识别执行恶意软件时创建的进程
- [ ] 检查恶意软件是否生成了任何**子进程**
- [ ] 识别该进程**导入的 DLL**
- [ ] 识别该进程运行的**用户上下文**
- [ ] 检查是否存在**进程注入**(恶意软件注入到合法进程中,例如 `notepad.exe`)
- [ ] 检查是否滥用了 **LOLBins**(Living Off the Land Binaries——被用于恶意目的的合法系统工具)
- [ ] 如果发现注入/LOLBins,请从注入发生的那一刻起,分析*宿主*进程的活动
**工具:** Process Hacker(层级化的父/子进程视图)
## 2. 网络活动
**目标:** 检测并记录恶意软件如何通过网络进行通信。
- [ ] 捕获由恶意软件发起的所有网络连接
- [ ] 识别目标 IP / 域名
- [ ] 识别所使用的协议(通常为 HTTP、SMTP)
- [ ] 确定连接目的:
- [ ] 第二阶段 payload 下载
- [ ] C2(命令与控制)通信
- [ ] 针对其他主机的横向移动
- [ ] 数据窃取
- [ ] 记录 IOC(IP、域名、URL、user-agent 等)
**工具:** Wireshark(常规捕获/分析),Fiddler(针对 HTTP 流量)
## 3. 注册表活动
**目标:** 检测通过 Windows 注册表进行的持久化机制和数据窃取企图。
- [ ] 在执行**之前**获取基线快照
- [ ] 在执行**之后**获取第二份快照(留出时间让其进行活动)
- [ ] 比较快照,专门隔离出由恶意软件进程所做的更改
- [ ] 检查常见的持久化键:
- `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`
- `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce`
- `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run`
- `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce`
- [ ] 过滤掉来自合法/无关进程的干扰信息
**工具:** Regshot(第一次快照 → 执行恶意软件 → 第二次快照 → 比较)
## 4. 文件活动
**目标:** 识别由恶意软件释放、复制或修改的文件,包括持久化 artifact。
- [ ] 检查 **Temp 目录**中是否有被释放/复制的文件(`Win+R` → `%temp%`)
- [ ] 检查 **Startup 目录**中是否有持久化副本:
- `Win+R` → `shell:startup`
- `Win+R` → `shell:common startup`
- [ ] 记录任何新/修改文件的文件名、哈希值和时间戳
- [ ] 考虑**无文件恶意软件**(fileless malware)的可能性(没有将任何 artifact 释放到磁盘上——依赖于内存驻留执行、注册表或 WMI)
## 总结工作流
1. 在隔离环境中执行样本
2. 识别恶意软件的进程 → 检查注入/子进程
3. 监控网络流量 → 识别 C2/数据窃取/payload 活动
4. 在之前/之后对注册表进行快照 → 隔离持久化键
5. 检查 Temp 和 Startup 目录 → 识别释放/持久化的文件
6. 将发现汇总为 IOC 和结论
*在学习动态分析方法论时整理的参考笔记——用于个人的 SOC/DFIR 学习和作品集记录。*
标签:防御加固