imprashanttt/Malware-analysis
GitHub: imprashanttt/Malware-analysis
一套面向初学者的恶意软件分析系列实验指南,通过五个递进项目教授从静态检查到网络流量分析的完整分析技能。
Stars: 0 | Forks: 0
# 恶意软件分析
一系列适合初学者的恶意软件分析实验指南,带你了解安全研究人员和应急响应人员使用的核心技术。每个项目都建立在前一个项目的基础之上,循序渐进地引导你从二进制文件的基础静态检查,一直到实时行为监控、脱壳混淆代码以及分析网络通信。
## 目录
1. [简介](#introduction)
2. [前置条件与实验环境配置](#prerequisites--lab-setup)
3. [工具与环境](#tools--environment)
4. [项目概述](#project-overview)
- [项目 1:静态分析](#project-1-static-analysis)
- [项目 2:动态分析](#project-2-dynamic-analysis)
- [项目 3:脱壳与去混淆](#project-3-unpacking--deobfuscation)
- [项目 4:行为分析](#project-4-behavioral-analysis)
- [项目 5:网络流量分析](#project-5-network-traffic-analysis)
5. [新手入门](#getting-started)
6. [仓库结构](#repository-structure)
7. [贡献指南](#contributing)
8. [开源许可证](#license)
9. [联系方式](#contact)
## 简介
恶意软件分析对于理解、检测和缓解网络威胁至关重要。通过这一系列引导式实验,你将学会:
- 在不执行恶意二进制文件的情况下安全地检查并对其进行指纹识别
- 构建和管理用于动态测试的受控环境
- 绕过 packer 并对代码进行去混淆,以揭示隐藏的逻辑
- 在执行过程中监控文件、注册表和进程活动
- 捕获并解码恶意软件网络流量,以梳理命令与控制工作流
无论你是逆向工程新手,还是希望提升应急响应技能,这些项目都将为你提供处理真实世界恶意软件样本的实践经验。
## 前置条件与实验环境配置
1. **虚拟机**:Windows 10 或 11(≥4 GB 内存,≥8 GB 硬盘)
2. **宿主机软件**:VMware Workstation 或 VirtualBox
3. **快照管理**:在每次分析前拍摄干净的快照
4. **系统调整**:
- 禁用 Windows Defender、SmartScreen 和实时更新
- 显示文件扩展名和隐藏文件
- 禁用 Windows 自动更新
5. **网络隔离**:使用 host-only 或 NAT 模式,并通过 Fiddler 或 Burp Suite 控制互联网访问
## 工具与环境
这些实验假设你已经安装了 **FLARE‑VM**,其中包含:
- **静态分析**:IDA Free/Ghidra、PEStudio、Detect It Easy
- **动态分析**:Process Hacker、Process Monitor、RegShot
- **调试**:x64dbg、WinDbg
- **网络分析**:Wireshark、Fiddler
- **脚本与自动化**:Python、PowerShell
你可以根据需要替换为等效的开源工具。
## 项目概述
### 项目 1:静态分析
- **文件名**:`Project-1-Static-Analysis.md`
- **目标**:在不运行恶意软件可执行文件的情况下对其进行剖析,以识别入侵指标。
- **关键步骤**:哈希计算、字符串提取、PE 头检查、VirusTotal 查询。
### 项目 2:动态分析
- **文件名**:`Project-2-Dynamic-Analysis.md`
- **目标**:在沙盒虚拟机中执行恶意软件,以观察其行为和系统变化。
- **关键步骤**:进程监控、文件与注册表活动捕获、网络日志记录、快照对比。
### 项目 3:脱壳与去混淆
- **文件名**:`Project-3-Unpacking-Techniques.md`
- **目标**:绕过 packer 并对代码进行去混淆,以揭示隐藏的恶意逻辑。
- **关键步骤**:Packer 识别、脱壳脚本使用、控制流简化。
### 项目 4:行为分析
- **文件名**:`Project-4-Behavioral-Analysis.md`
- **目标**:追踪运行时交互,以检测持久化、数据窃取和隐蔽技术。
- **关键步骤**:进程树分析、注册表快照、autoruns 检测、文件释放跟踪。
### 项目 5:网络流量分析
- **文件名**:`Project-5-Network-Analysis.md`
- **目标**:分析 C&C 通信和数据外发通道。
- **关键步骤**:数据包捕获、协议过滤、payload 解码、IOC 提取。
## 新手入门
1. **克隆仓库**:
2. **查看简介**,确保你的虚拟机和工具已配置完毕。
3. **按顺序打开每个项目文件**,并按照实验说明进行操作。
4. **在每次实验前后拍摄快照**,以保留你的基础环境。
5. **记录你的发现**,并随时在 `/samples` 文件夹中添加样本文件或截图。
## 仓库结构
```
Malware_Analisis/
├── README.md
├── Introduction-to-Malware-Analysis.md
├── Project-1-Static-Analysis.md
├── Project-2-Dynamic-Analysis.md
├── Project-3-Unpacking-Techniques.md
├── Project-4-Behavioral-Analysis.md
├── Project-5-Network-Analysis.md
└── samples/
```
标签:AI合规, DAST, 云安全监控, 云资产清单, 合规性检查, 安全培训, 安全实验靶场, 恶意软件分析, 逆向工具, 逆向工程, 静态分析