ASHDEX/practical-malware-analysis-

# 实用恶意软件分析 《实用恶意软件分析》一书的实验练习与学习笔记（作者：Michael Sikorski 和 Andrew Honig），并辅以 RPISEC 恶意软件课程材料。涵盖静态与动态分析、脱壳、反分析技术以及真实恶意软件样本的逆向工程。 ## 实验结构 | 目录 | 描述 | |---|---| | `Lab1` | PE 文件静态分析 — 导入表、导出表、字符串和节分析 | | `Labs` | 动态分析练习 — 行为监控、API 追踪和网络分析 | ## 涵盖主题 ### 静态分析 - PE 头部分析：MZ 签名、节特性、导入/导出表 - 针对加壳样本的字符串提取和熵分析 - 基于静态指标的 YARA 规则开发 - IDA Pro / Ghidra 反汇编工作流 - 识别编译器产物和加壳器签名 ### 动态分析 - 沙盒执行与行为监控（Process Monitor、Process Hacker） - 使用工具进行 API 调用追踪：API Monitor、x64dbg、WinDbg - 网络流量捕获与协议识别（Wireshark、INetSim） - 注册表与文件系统变化监控 ### 反分析绕过 - 调试器检测绕过（修补 IsDebuggerPresent、ScyllaHide） - 加壳器识别与手动脱壳工作流 - 反虚拟机逃逸技术及缓解措施 - 代码混淆：XOR 解码、栈字符串重构 ### 分析的恶意软件类别 - 键盘记录器与凭据窃取器 - 后门与远程访问木马（RAT） - 下载器/释放器链 - Rootkit：用户态与内核态持久化 ## 工具参考 | 工具 | 用途 | |---|---| | IDA Pro / Ghidra | 静态反汇编与反编译 | | x64dbg / WinDbg | 动态调试 | | Process Monitor | 文件系统、注册表和进程活动监控 | | Wireshark / INetSim | 网络流量捕获与仿真 | | FLARE VM | 预配置的恶意软件分析环境 | | PEStudio | PE 文件静态分析 | ## 参考 - RPISEC 恶意软件课程：https://github.com/RPISEC/Malware ## 作者 ASHDEX — 安全研究员与架构师 | 恶意软件分析·逆向工程 [ashdex.com](https://ashdex.com)

标签：AMSI绕过, API追踪, DAST, DNS信息、DNS暴力破解, FLARE VM, Ghidra, IDA Pro, INetSim, meg, PEStudio, PE文件分析, Process Monitor, Rootkit, WinDbg, Wireshark, YARA规则, Zeek, 云安全监控, 云资产清单, 信息安全, 加壳检测, 句柄查看, 合规性检查, 后门分析, 威胁检测, 恶意软件分析, 抗分析, 木马分析, 沙箱分析, 网络流量分析, 行为监控, 调试器绕过, 逆向工具, 逆向工程, 键盘记录, 静态分析