Malware Analyst

🛡️ 恶意软件深度分析 · 威胁研判专家

专业恶意软件分析技能,覆盖静态/动态分析、IOC提取与沙箱技术,适用于安全团队威胁研判与事件响应,来源可信度高。

收藏
2.8k
安装
972
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

malware-analyst 是一套系统化的恶意软件分析工作流,专为安全运营中心(SOC)、事件响应(IR)团队及威胁情报研究人员设计。其核心能力覆盖:

1. 样本识别与分类

  • 通过哈希值、文件签名、编译时间戳快速识别样本
  • 使用 Detect It Easy (DIE)、ExeinfoPE 等工具检测加壳与混淆技术

2. 静态分析

  • 字符串提取(含 FLOSS 反混淆)
  • 导入/导出表分析(rabin2、dumpbin)
  • 反汇编与代码审查(IDA Pro、Ghidra、Binary Ninja)
  • 识别恶意功能模块:网络通信、持久化、进程注入、反调试

3. 动态分析

  • 隔离环境(VM)配置与监控工具链(Process Monitor、Wireshark、API Monitor)
  • 行为捕获:网络连接、文件操作、注册表修改、进程创建
  • 使用 Cuckoo、ANY.RUN、CAPE 等沙箱自动化分析

4. IOC 提取与情报产出

  • 网络指标:IP/域名/URL/User-Agent/JA3指纹
  • 系统指标:文件路径、互斥体名、注册表键值
  • 支持 YARA 规则生成辅助

5. 威胁技术映射

  • MITRE ATT&CK 框架对齐的持久化、防御规避、C2技术识别

显著优点

  • 流程标准化:提供分阶段(识别→静态→动态→报告)的完整方法论,降低分析遗漏风险
  • 工具生态完整:涵盖开源(Cuckoo、FLOSS)与商业(ANY.RUN、Joe Sandbox)解决方案
  • 安全意识嵌入:明确伦理边界,禁止协助恶意用途,内置授权验证提醒
  • 输出结构化:报告模板直接可用,支持安全运营快速决策

潜在局限

  • 环境依赖:动态分析需要配置完善的隔离环境(VM/沙箱),资源投入较高
  • 对抗升级:高级持续威胁(APT)样本可能检测分析环境,导致行为不完整
  • 技能门槛:有效使用需具备逆向工程基础,纯自动化输出可能误报或遗漏
  • 时效性:加壳与混淆技术持续演进,工具签名需定期更新

适合人群

  • 企业安全团队的事件响应与威胁狩猎人员
  • 安全厂商的恶意软件研究员与特征工程师
  • 政府 CERT/CSIRT 技术分析师
  • 高校网络安全方向研究人员(需合规授权)

常规风险

  • 执行风险:样本误触可导致分析环境逃逸,建议严格网络隔离与快照回滚
  • 误报风险:合法软件的加壳保护可能被误判为恶意
  • 情报泄露:分析含敏感信息的样本时需遵守数据保护法规
  • 供应链风险:依赖的外部工具(如在线沙箱)可能上传敏感样本至第三方

Malware Analyst 内容

手动下载zip · 3.4 kB
SKILL.mdtext/markdown
请选择文件