CyrielleGe/malware-analysis-notes

GitHub: CyrielleGe/malware-analysis-notes

一套涵盖 VBA 宏分析工作流、x86-64 逆向基础、内存漏洞分类与 YARA 规则编写的恶意软件分析学习笔记仓库。

Stars: 0 | Forks: 0

# 恶意软件分析笔记 关于恶意软件分析的个人笔记与 YARA 规则: 包含诱饵 Office 文档分析工作流、x86-64 逆向工程笔记、内存漏洞类型综合。 撰写于索邦大学 SSI 许可证 3 课程(网络安全导论,2025-2026)期间。 [![License](https://img.shields.io/badge/license-MIT-brightgreen.svg)](LICENSE) ## 结构 ``` malware-analysis-notes/ ├── docs/ │ └── vba_macro_analysis_workflow.md # Workflow oletools + CyberChef ├── reverse-notes/ │ └── x86_64_essentials.md # Fondamentaux assembleur x86-64 ├── memory-vulnerabilities/ │ └── memory_bugs_families.md # Buffer overflow, UAF, format string... ├── yara-rules/ │ ├── generic_implant.yar # Règle de démo commentée │ └── YARA_CHEATSHEET.md # Aide-mémoire syntaxe ├── LICENSE └── README.md ``` ## 详细内容 ### 📄 [`docs/vba_macro_analysis_workflow.md`](docs/vba_macro_analysis_workflow.md) 分析带毒 `.docm` 文档的通用流程,从使用 `oleid` 进行初步分类,到通过 CyberChef 提取最终 payload。 说明了需要重点关注的 VBA 函数(`Document_Open`, `Shell`, `CreateObject`)、反沙箱机制(`CheckDomain`),以及编写相关 YARA 规则的流程。 ### 🔧 [`reverse-notes/x86_64_essentials.md`](reverse-notes/x86_64_essentials.md) 寄存器、算术与逻辑指令、常见惯用语法(`XOR RAX, RAX`),以及构建栈字符串以躲避 `strings` 检查等反分析技术。可在使用 Disasm 或 Ghidra 进行练习时作为速查表使用。 ### 🐛 [`memory-vulnerabilities/memory_bugs_families.md`](memory-vulnerabilities/memory_bugs_families.md) C 语言中六大主要内存漏洞类型概述:buffer overflow(stack 和 heap)、format string、integer overflow、race condition(TOCTOU)、type confusion、use-after-free。针对每种类型:介绍了原理、最小示例、修复方法以及系统级的缓解措施(canaries、ASLR、DEP、CFI、sanitizers)。 ### 🎯 [`yara-rules/`](yara-rules/) 两个演示用的 YARA 规则: - **Generic_Windows_Implant**:检测结合了代码注入和网络通信功能的 PE implant,并带有大小限制以减少误报。 - **Generic_VBA_Downloader**:检测包含自动执行宏和 dropper API 的 Office 文档。 此外还包含一份 YARA 语法 **cheatsheet**。 ## 范围 这些笔记涵盖了我在静态分析和理解攻击机制方面学习与实践的内容。**它们不包含任何真实的恶意软件样本**,没有任何针对特定活动的可用 IoC,也没有任何可用的 exploit。它们仅用于描述概念和方法。 ## 主要参考 - Philippe Lagadec — `oletools`。 - Didier Stevens — 博客和 OLE/PDF 分析工具。 - MITRE — CWE, ATT&CK。 - Intel — 64 and IA-32 Architectures Software Developer's Manual。 - Florian Roth — 参考 YARA 签名 (Nextron Systems)。 ## 许可证 MIT — 查看 [LICENSE](LICENSE)。
标签:DAST, DNS信息、DNS暴力破解, VBA宏分析, YARA规则, 云资产清单, 恶意软件分析, 漏洞分析, 路径探测, 逆向工程