imprashanttt/Malware-analysis

GitHub: imprashanttt/Malware-analysis

一套面向初学者的恶意软件分析系列实验指南,通过五个递进项目教授从静态检查到网络流量分析的完整分析技能。

Stars: 0 | Forks: 0

# 恶意软件分析 一系列适合初学者的恶意软件分析实验指南,带你了解安全研究人员和应急响应人员使用的核心技术。每个项目都建立在前一个项目的基础之上,循序渐进地引导你从二进制文件的基础静态检查,一直到实时行为监控、脱壳混淆代码以及分析网络通信。 ## 目录 1. [简介](#introduction) 2. [前置条件与实验环境配置](#prerequisites--lab-setup) 3. [工具与环境](#tools--environment) 4. [项目概述](#project-overview) - [项目 1:静态分析](#project-1-static-analysis) - [项目 2:动态分析](#project-2-dynamic-analysis) - [项目 3:脱壳与去混淆](#project-3-unpacking--deobfuscation) - [项目 4:行为分析](#project-4-behavioral-analysis) - [项目 5:网络流量分析](#project-5-network-traffic-analysis) 5. [新手入门](#getting-started) 6. [仓库结构](#repository-structure) 7. [贡献指南](#contributing) 8. [开源许可证](#license) 9. [联系方式](#contact) ## 简介 恶意软件分析对于理解、检测和缓解网络威胁至关重要。通过这一系列引导式实验,你将学会: - 在不执行恶意二进制文件的情况下安全地检查并对其进行指纹识别 - 构建和管理用于动态测试的受控环境 - 绕过 packer 并对代码进行去混淆,以揭示隐藏的逻辑 - 在执行过程中监控文件、注册表和进程活动 - 捕获并解码恶意软件网络流量,以梳理命令与控制工作流 无论你是逆向工程新手,还是希望提升应急响应技能,这些项目都将为你提供处理真实世界恶意软件样本的实践经验。 ## 前置条件与实验环境配置 1. **虚拟机**:Windows 10 或 11(≥4 GB 内存,≥8 GB 硬盘) 2. **宿主机软件**:VMware Workstation 或 VirtualBox 3. **快照管理**:在每次分析前拍摄干净的快照 4. **系统调整**: - 禁用 Windows Defender、SmartScreen 和实时更新 - 显示文件扩展名和隐藏文件 - 禁用 Windows 自动更新 5. **网络隔离**:使用 host-only 或 NAT 模式,并通过 Fiddler 或 Burp Suite 控制互联网访问 ## 工具与环境 这些实验假设你已经安装了 **FLARE‑VM**,其中包含: - **静态分析**:IDA Free/Ghidra、PEStudio、Detect It Easy - **动态分析**:Process Hacker、Process Monitor、RegShot - **调试**:x64dbg、WinDbg - **网络分析**:Wireshark、Fiddler - **脚本与自动化**:Python、PowerShell 你可以根据需要替换为等效的开源工具。 ## 项目概述 ### 项目 1:静态分析 - **文件名**:`Project-1-Static-Analysis.md` - **目标**:在不运行恶意软件可执行文件的情况下对其进行剖析,以识别入侵指标。 - **关键步骤**:哈希计算、字符串提取、PE 头检查、VirusTotal 查询。 ### 项目 2:动态分析 - **文件名**:`Project-2-Dynamic-Analysis.md` - **目标**:在沙盒虚拟机中执行恶意软件,以观察其行为和系统变化。 - **关键步骤**:进程监控、文件与注册表活动捕获、网络日志记录、快照对比。 ### 项目 3:脱壳与去混淆 - **文件名**:`Project-3-Unpacking-Techniques.md` - **目标**:绕过 packer 并对代码进行去混淆,以揭示隐藏的恶意逻辑。 - **关键步骤**:Packer 识别、脱壳脚本使用、控制流简化。 ### 项目 4:行为分析 - **文件名**:`Project-4-Behavioral-Analysis.md` - **目标**:追踪运行时交互,以检测持久化、数据窃取和隐蔽技术。 - **关键步骤**:进程树分析、注册表快照、autoruns 检测、文件释放跟踪。 ### 项目 5:网络流量分析 - **文件名**:`Project-5-Network-Analysis.md` - **目标**:分析 C&C 通信和数据外发通道。 - **关键步骤**:数据包捕获、协议过滤、payload 解码、IOC 提取。 ## 新手入门 1. **克隆仓库**: 2. **查看简介**,确保你的虚拟机和工具已配置完毕。 3. **按顺序打开每个项目文件**,并按照实验说明进行操作。 4. **在每次实验前后拍摄快照**,以保留你的基础环境。 5. **记录你的发现**,并随时在 `/samples` 文件夹中添加样本文件或截图。 ## 仓库结构 ``` Malware_Analisis/ ├── README.md ├── Introduction-to-Malware-Analysis.md ├── Project-1-Static-Analysis.md ├── Project-2-Dynamic-Analysis.md ├── Project-3-Unpacking-Techniques.md ├── Project-4-Behavioral-Analysis.md ├── Project-5-Network-Analysis.md └── samples/ ```
标签:AI合规, DAST, 云安全监控, 云资产清单, 合规性检查, 安全培训, 安全实验靶场, 恶意软件分析, 逆向工具, 逆向工程, 静态分析