Vin69-git/Analysing-Malware

# 高级恶意软件行为分析与网络遥测分诊 ## 项目概述 本仓库详细介绍了如何部署经过安全加固的隔离沙箱基础设施，以对不受信任的二进制文件执行动态行为分析。其主要目标是逆向分析运行时可执行文件的运行机制、跟踪主机级别的持久化配置，并拦截命令与控制 (C2) 协议遥测数据。 ## 技术产物索引 * Procedure.pdf：完整的取证分析记录，包括系统基线快照、活动进程图以及网络数据包流捕获。 * Setup：虚拟化沙箱架构参数与分析员监控工具配置。 * Samples：用于获取二进制文件的威胁情报追踪索引。 ## 特色取证案例研究：law.exe 行为剖析 ### 1. 执行前注册表快照 * 工具部署：Regshot 1.9.0 (x64 Unicode 架构) * 方法论：初始化包含 419,837 个注册表项和 797,244 个唯一系统状态值的“首次快照”综合系统配置基线，以映射感染后的变异增量。 ### 2. 运行时行为与持久化分析 (Procmon & Process Hacker) 在不受信任的二进制文件 释放后，利用 Sysinternals Procmon 捕获实时遥测数据，以隔离线程突变和文件系统钩子： * 注册表完整性违规：识别出针对根配置 (HKCR\WINMGMTS\CLSID) 的广泛查询和修改模式。 * 规避与持久化钩子：拦截到一次关键的后台负载释放，其中 PID 1432 执行了后台 WriteFile 序列，在隐藏的本地目录 \AppData\Roaming\AheGmkp\ 中创建了一个名为“AheGmkp.exe”的未授权二进制文件。 ### 3. 网络窃取与命令与控制 (C2) 拦截 * 协议摄取：Wireshark 数据包检查 (TCP Stream 13) * 取证发现：隔离出感染后立即产生的出站网络遥测数据。该恶意软件使用自定义的 STARTTLS 命令向 us2.outbound.mailhostbox.com 发起了 ESMTP Postfix 握手，旨在保护加密的窃取通道。 ## 核心基础设施工程技能 * 隔离环境管理：虚拟化客户机 OS 安全加固，防止环境逃逸。 * 基于主机的取证调查：使用 Sysinternals 跟踪进程镂空、注册表突变和路径释放。 * 网络协议分析：解码原始 ASCII/HEX 十六进制数据流，以识别恶意基础设施调用。

标签：DAST, 云资产清单, 动态沙箱, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 网络信息收集, 自动化脚本, 逆向工程