emretiramis/Dynamic-Malware-Analysis-Checklist

GitHub: emretiramis/Dynamic-Malware-Analysis-Checklist

一份系统化的动态恶意软件分析检查清单,为安全分析师在受控环境中执行和分析恶意样本时提供覆盖进程、网络、注册表和文件四大维度的标准化操作参考。

Stars: 0 | Forks: 0

# 动态恶意软件分析 — 检查清单 一份用于执行动态恶意软件分析时的快速参考检查清单——即在受控环境中实际执行样本,并观察其在操作系统上的活动。 ## 1. 进程活动 **目标:** 识别由恶意软件创建的进程,并追踪它们执行的所有操作。 - [ ] 识别执行恶意软件时创建的进程 - [ ] 检查恶意软件是否生成了任何**子进程** - [ ] 识别该进程**导入的 DLL** - [ ] 识别该进程运行的**用户上下文** - [ ] 检查是否存在**进程注入**(恶意软件注入到合法进程中,例如 `notepad.exe`) - [ ] 检查是否滥用了 **LOLBins**(Living Off the Land Binaries——被用于恶意目的的合法系统工具) - [ ] 如果发现注入/LOLBins,请从注入发生的那一刻起,分析*宿主*进程的活动 **工具:** Process Hacker(层级化的父/子进程视图) ## 2. 网络活动 **目标:** 检测并记录恶意软件如何通过网络进行通信。 - [ ] 捕获由恶意软件发起的所有网络连接 - [ ] 识别目标 IP / 域名 - [ ] 识别所使用的协议(通常为 HTTP、SMTP) - [ ] 确定连接目的: - [ ] 第二阶段 payload 下载 - [ ] C2(命令与控制)通信 - [ ] 针对其他主机的横向移动 - [ ] 数据窃取 - [ ] 记录 IOC(IP、域名、URL、user-agent 等) **工具:** Wireshark(常规捕获/分析),Fiddler(针对 HTTP 流量) ## 3. 注册表活动 **目标:** 检测通过 Windows 注册表进行的持久化机制和数据窃取企图。 - [ ] 在执行**之前**获取基线快照 - [ ] 在执行**之后**获取第二份快照(留出时间让其进行活动) - [ ] 比较快照,专门隔离出由恶意软件进程所做的更改 - [ ] 检查常见的持久化键: - `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run` - `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce` - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run` - `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce` - [ ] 过滤掉来自合法/无关进程的干扰信息 **工具:** Regshot(第一次快照 → 执行恶意软件 → 第二次快照 → 比较) ## 4. 文件活动 **目标:** 识别由恶意软件释放、复制或修改的文件,包括持久化 artifact。 - [ ] 检查 **Temp 目录**中是否有被释放/复制的文件(`Win+R` → `%temp%`) - [ ] 检查 **Startup 目录**中是否有持久化副本: - `Win+R` → `shell:startup` - `Win+R` → `shell:common startup` - [ ] 记录任何新/修改文件的文件名、哈希值和时间戳 - [ ] 考虑**无文件恶意软件**(fileless malware)的可能性(没有将任何 artifact 释放到磁盘上——依赖于内存驻留执行、注册表或 WMI) ## 总结工作流 1. 在隔离环境中执行样本 2. 识别恶意软件的进程 → 检查注入/子进程 3. 监控网络流量 → 识别 C2/数据窃取/payload 活动 4. 在之前/之后对注册表进行快照 → 隔离持久化键 5. 检查 Temp 和 Startup 目录 → 识别释放/持久化的文件 6. 将发现汇总为 IOC 和结论 *在学习动态分析方法论时整理的参考笔记——用于个人的 SOC/DFIR 学习和作品集记录。*
标签:防御加固