6ix7teen/malware-analysis-lab

GitHub: 6ix7teen/malware-analysis-lab

一个基于沙箱隔离的恶意软件分析实验室项目,提供自动化部署脚本和网络隔离配置,用于安全地执行静态与动态恶意样本分析。

Stars: 0 | Forks: 0

# 恶意软件分析实验室 一个安全、隔离的沙箱环境配置和工具包,用于执行静态和动态恶意软件分析。本仓库提供了自动化部署脚本、网络隔离规则和文档,用于安全地剖析、进行行为追踪以及逆向工程恶意二进制文件。 ## 🎯 目的与范围 本项目概述了一个严格的框架,用于处理活跃的恶意软件样本,同时避免主机或企业网络受到污染。它建立了一个隔离的实验室,旨在处理两种核心方法: * **静态分析:** 在不执行二进制文件的情况下对其进行检查(例如,提取字符串、分析 PE 头、哈希以及通过 YARA 进行签名匹配)。 * **动态分析:** 在受控的虚拟机内执行样本,以观察运行时行为(例如,文件系统修改、注册表更改、进程生成和出站网络流量)。 ## 🚀 核心功能 * **Host-Only 隔离配置:** 预配置的 host-only 网络拓扑,用于安全地控制多阶段投放器和 C2 回调。 * **实验室自动化配置:** Vagrant 和 Ansible playbook 可快速启动并恢复干净的分析节点(配备 FLARE VM 的 Windows 10/11,以及用于网络模拟的 REMnux)。 * **伪造互联网路由:** 集成了 `INetSim` 和 `fakedns` 配置,诱使恶意软件暴露其命令与控制(C2)功能,而无需触及真实互联网。 * **产物提取管道:** 简化了内存转储、注册表增量和数据包捕获(PCAP)的收集流程,用于提取危害指标(IoC)。 ## 📂 项目结构 ``` malware-analysis-lab/ ├── environment/ │ ├── vagrant/ # Vagrantfiles for REMnux and Windows analyst boxes │ ├── network/ # Firewall and iptables routing rules for isolation │ └── profiles/ # Windows Sandbox configurations (.wsb) ├── tools/ │ ├── yara_rules/ # Custom YARA rules for initial triage and family detection │ └── scripts/ # Automation scripts for hashing and packing checks ├── captures/ # Target directory for logs, registry snaps, and PCAPs └── README.md # Setup guidelines and laboratory safety policies ```
标签:DAST, 云资产清单, 合规性检查, 安全沙箱, 恶意软件分析, 环境自动化, 系统提示词, 网络信息收集, 虚拟化, 逆向工程