Akh1l74/Isolated-Malware-Analysis-Lab
GitHub: Akh1l74/Isolated-Malware-Analysis-Lab
该项目记录了一个基于 FLARE-VM、REMnux 和 pfSense 构建的隔离恶意软件分析实验室的设计与实现,为静态分析、动态分析、逆向工程和网络流量监控提供了安全可控的实践平台。
Stars: 0 | Forks: 0
# 🦠 隔离的恶意软件分析实验室





## 概述
该项目记录了我个人恶意软件分析实验室的设计与实现过程。
该环境结合了 FLARE-VM、REMnux 和 pfSense,为静态和动态恶意软件分析、逆向工程、行为监控和网络流量检测提供了一个隔离平台,同时防止与外部网络发生意外通信。
该项目的主要目标是在可重复的实验室环境中,获得恶意软件分析工作流、Windows 内部机制、逆向工程、虚拟网络设计以及安全恶意软件引爆技术的实践经验。
## 🌐 网络架构
该恶意软件分析环境围绕 FLARE-VM、REMnux 和 pfSense 之间共享的隔离内部网络构建。
- **FLARE-VM** 和 **REMnux** 仅通过内部网络进行通信。
- **pfSense** 同时连接到内部网络和 NAT 接口。
- NAT 接口**仅通过 pfSense** 提供 Internet 连接。
- 防火墙规则配置为防止分析环境与任何外部网络通信,明确允许访问 Internet 的情况除外。
- 没有任何虚拟机(内部网络内)可以直接访问 Internet,从而确保所有出站流量都由 pfSense 进行检查和控制。
## 🖥️ 实验室组件
### 🔥 FLARE-VM
- 基于 Windows 的恶意软件分析工作站
- 静态和动态恶意软件分析
- 逆向工程工具包
- 进程和注册表监控
### 🐧 REMnux
- Linux 恶意软件分析发行版
- 网络模拟
- 数据包捕获
- 收集 IOC
### 🛡️ pfSense
- 防火墙
- 网络分段
- 出站流量控制
- 恶意软件遏制
## 🔬 恶意软件分析工作流
恶意软件分析期间遵循的一般工作流如下:
1. 创建一个干净的 VM 快照。
2. 对样本执行静态分析。
3. 在 FLARE-VM 内执行样本。
4. 监控进程、注册表和文件系统活动。
5. 通过 REMnux 捕获网络流量。
6. 收集入侵指标 (IOC)。
7. 将 VM 恢复到干净快照。
## 🛠️ 所用工具
### 静态分析
- Detect It Easy (DIE)
- PEStudio
- YARA
### 动态分析
- Process Monitor
- Process Explorer
- TCPView
### 逆向工程
- x64dbg
- FLOSS
- capa
### 网络分析
- Wireshark
- INetSim
- FakeDNS
### 基础设施
- FLARE-VM
- REMnux
- pfSense
- VirtualBox
## 🔒 安全措施
该实验室以安全性作为首要目标进行设计。
- 仅限内部网络通信
- 通过防火墙强制执行网络隔离
- VM 快照恢复
- 恶意软件无直接 Internet 访问权限
- 分离的分析环境
## 🎯 展示的技能
- 恶意软件分析
- 逆向工程基础
- Windows 内部机制
- 网络流量分析
- 虚拟网络设计
- 收集 IOC
- 进程监控
- 注册表分析
- 防火墙配置
## 🚀 未来改进
- 部署 FakeNet-NG
- 配置 Sysmon
- 集成 CAPE Sandbox
- 自动化提取 IOC
- 扩展恶意软件案例研究
## 🖥️ 实验室组件
### 🔥 FLARE-VM
- 基于 Windows 的恶意软件分析工作站
- 静态和动态恶意软件分析
- 逆向工程工具包
- 进程和注册表监控
### 🐧 REMnux
- Linux 恶意软件分析发行版
- 网络模拟
- 数据包捕获
- 收集 IOC
### 🛡️ pfSense
- 防火墙
- 网络分段
- 出站流量控制
- 恶意软件遏制
## 🔬 恶意软件分析工作流
恶意软件分析期间遵循的一般工作流如下:
1. 创建一个干净的 VM 快照。
2. 对样本执行静态分析。
3. 在 FLARE-VM 内执行样本。
4. 监控进程、注册表和文件系统活动。
5. 通过 REMnux 捕获网络流量。
6. 收集入侵指标 (IOC)。
7. 将 VM 恢复到干净快照。
## 🛠️ 所用工具
### 静态分析
- Detect It Easy (DIE)
- PEStudio
- YARA
### 动态分析
- Process Monitor
- Process Explorer
- TCPView
### 逆向工程
- x64dbg
- FLOSS
- capa
### 网络分析
- Wireshark
- INetSim
- FakeDNS
### 基础设施
- FLARE-VM
- REMnux
- pfSense
- VirtualBox
## 🔒 安全措施
该实验室以安全性作为首要目标进行设计。
- 仅限内部网络通信
- 通过防火墙强制执行网络隔离
- VM 快照恢复
- 恶意软件无直接 Internet 访问权限
- 分离的分析环境
## 🎯 展示的技能
- 恶意软件分析
- 逆向工程基础
- Windows 内部机制
- 网络流量分析
- 虚拟网络设计
- 收集 IOC
- 进程监控
- 注册表分析
- 防火墙配置
## 🚀 未来改进
- 部署 FakeNet-NG
- 配置 Sysmon
- 集成 CAPE Sandbox
- 自动化提取 IOC
- 扩展恶意软件案例研究标签:DAST, FLARE-VM, pfSense, REMnux, 云资产清单, 恶意软件分析, 网络流量分析, 虚拟化环境, 逆向工程