Akh1l74/Isolated-Malware-Analysis-Lab

GitHub: Akh1l74/Isolated-Malware-Analysis-Lab

该项目记录了一个基于 FLARE-VM、REMnux 和 pfSense 构建的隔离恶意软件分析实验室的设计与实现,为静态分析、动态分析、逆向工程和网络流量监控提供了安全可控的实践平台。

Stars: 0 | Forks: 0

# 🦠 隔离的恶意软件分析实验室 ![License](https://img.shields.io/badge/License-MIT-green) ![Platform](https://img.shields.io/badge/Platform-VirtualBox-blue) ![FLARE-VM](https://img.shields.io/badge/FLARE--VM-Windows-red) ![REMnux](https://img.shields.io/badge/REMnux-Linux-orange) ![pfSense](https://img.shields.io/badge/pfSense-Firewall-red) ## 概述 该项目记录了我个人恶意软件分析实验室的设计与实现过程。 该环境结合了 FLARE-VM、REMnux 和 pfSense,为静态和动态恶意软件分析、逆向工程、行为监控和网络流量检测提供了一个隔离平台,同时防止与外部网络发生意外通信。 该项目的主要目标是在可重复的实验室环境中,获得恶意软件分析工作流、Windows 内部机制、逆向工程、虚拟网络设计以及安全恶意软件引爆技术的实践经验。 ## 🌐 网络架构 该恶意软件分析环境围绕 FLARE-VM、REMnux 和 pfSense 之间共享的隔离内部网络构建。 - **FLARE-VM** 和 **REMnux** 仅通过内部网络进行通信。 - **pfSense** 同时连接到内部网络和 NAT 接口。 - NAT 接口**仅通过 pfSense** 提供 Internet 连接。 - 防火墙规则配置为防止分析环境与任何外部网络通信,明确允许访问 Internet 的情况除外。 - 没有任何虚拟机(内部网络内)可以直接访问 Internet,从而确保所有出站流量都由 pfSense 进行检查和控制。 image ## 🖥️ 实验室组件 ### 🔥 FLARE-VM - 基于 Windows 的恶意软件分析工作站 - 静态和动态恶意软件分析 - 逆向工程工具包 - 进程和注册表监控 ### 🐧 REMnux - Linux 恶意软件分析发行版 - 网络模拟 - 数据包捕获 - 收集 IOC ### 🛡️ pfSense - 防火墙 - 网络分段 - 出站流量控制 - 恶意软件遏制 ## 🔬 恶意软件分析工作流 恶意软件分析期间遵循的一般工作流如下: 1. 创建一个干净的 VM 快照。 2. 对样本执行静态分析。 3. 在 FLARE-VM 内执行样本。 4. 监控进程、注册表和文件系统活动。 5. 通过 REMnux 捕获网络流量。 6. 收集入侵指标 (IOC)。 7. 将 VM 恢复到干净快照。 ## 🛠️ 所用工具 ### 静态分析 - Detect It Easy (DIE) - PEStudio - YARA ### 动态分析 - Process Monitor - Process Explorer - TCPView ### 逆向工程 - x64dbg - FLOSS - capa ### 网络分析 - Wireshark - INetSim - FakeDNS ### 基础设施 - FLARE-VM - REMnux - pfSense - VirtualBox ## 🔒 安全措施 该实验室以安全性作为首要目标进行设计。 - 仅限内部网络通信 - 通过防火墙强制执行网络隔离 - VM 快照恢复 - 恶意软件无直接 Internet 访问权限 - 分离的分析环境 ## 🎯 展示的技能 - 恶意软件分析 - 逆向工程基础 - Windows 内部机制 - 网络流量分析 - 虚拟网络设计 - 收集 IOC - 进程监控 - 注册表分析 - 防火墙配置 ## 🚀 未来改进 - 部署 FakeNet-NG - 配置 Sysmon - 集成 CAPE Sandbox - 自动化提取 IOC - 扩展恶意软件案例研究
标签:DAST, FLARE-VM, pfSense, REMnux, 云资产清单, 恶意软件分析, 网络流量分析, 虚拟化环境, 逆向工程