Lubna912/malware-dynamic-analysis-lab
GitHub: Lubna912/malware-dynamic-analysis-lab
一个恶意软件分析实验文档仓库,记录了使用 Process Explorer 和 IDA Pro 对可疑样本进行动态与静态分析的实践过程与发现。
Stars: 1 | Forks: 0
# 恶意软件动态分析实验室
这是一个恶意软件分析实验室,记录了在安全环境中使用 Process Explorer 对可疑可执行文件进行基础动态分析的过程。
# 恶意软件动态分析实验室
## 概述
本项目记录了在受控和隔离环境中进行的基础动态恶意软件分析实验室。分析重点在于使用 Process Explorer 观察可疑可执行文件的行为,并识别基于主机的入侵指标。
## 目标
此实验室的目标是在安全环境中执行并监控恶意软件样本,观察其进程行为,识别与内存相关的活动,并记录基于主机的指标。
## 使用的工具
- Process Explorer
- Windows 虚拟机
- 基础动态分析技术
- Strings 比较
- 安全隔离的实验室环境
## 分析总结
在执行期间,可疑可执行文件短暂地作为一个运行中的进程出现,并与 `svchost.exe` 进行了交互。观察到了与 `svchost.exe` 相关的应用程序错误,这表明存在异常的进程行为以及可能的内存交互。
分析还识别了可疑的基于主机的指标,包括:
- 可疑的 `svchost.exe` 进程行为
- 可能的进程替换活动
- 内存中发现的字符串与磁盘上发现的字符串之间的差异
- 与捕获的活动相关联的日志文件
## 主要发现
- 恶意软件表现出短暂的进程行为。
- 观察到与 `svchost.exe` 的可疑交互。
- 基于内存的差异表明可能存在进程修改。
- 该恶意软件的行为与键盘记录活动一致。
## 我学到了什么
- 如何使用 Process Explorer 监控恶意软件行为
- 如何识别可疑的进程关系
- 基于主机的指标如何揭示恶意软件活动
- 动态分析如何帮助在受控环境中理解恶意软件行为
## 安全提示
此仓库仅用于教育文档记录。不包含任何恶意软件样本或可执行文件。
# 恶意软件分析实验室
## 概述
本仓库记录了恶意软件分析实验室,重点在于在受控环境中使用动态和静态分析技术来理解可疑可执行文件的行为。
## 包含的实验室
### 实验室 1:恶意软件动态分析
该实验室重点是在隔离环境中使用 Process Explorer 执行并监控可疑可执行文件,以识别进程行为、与内存相关的活动以及基于主机的指标。
### 实验室 2:使用 IDA Pro 进行恶意软件静态分析
该实验室重点是使用 IDA Pro 分析可疑的 DLL,以识别重要的函数、API 调用、睡眠行为、socket 参数和混淆数据。
## 使用的工具
- IDA Pro
- Process Explorer
- Windows 虚拟机
- 基础动态分析
- 静态逆向工程
## 实践的主要技能
- 恶意软件行为观察
- 进程监控
- 静态代码分析
- API 调用分析
- 识别可疑的进程活动
- 识别编码或混淆的数据
## 安全提示
此仓库仅用于教育文档记录。不包含任何恶意软件样本、可执行文件或 DLL 文件。
标签:DAST, 云资产清单, 威胁情报, 安全实验室, 开发者工具, 恶意软件分析, 逆向工程