恶意软件分析工具集成环境

  • A+
所属分类:安全工具

安全分析与研究

专注于全球恶意软件的分析与研究

前言

之前很多朋友对我的恶意软件分析虚拟机环境比较好奇,有些朋友还问我能不能共享一下我的恶意软件分析环境虚拟机,因为实在是太大了,而且做了很多快照,也不方便共享,在做恶意软件分析的时候,因为不同的恶意软件家族会使用不同恶意软件技术,同时会使用不同的编程语言进行编写,所以需要用到很多不同的工具,在分析不同类型样本的时候都会使用不同的工具进行分析,这样可以提高样本的分析效率,后面有时间再给大家详细介绍在分析各种不同类型样本的时候,一般都使用哪些工具,今天就给大家介绍一个恶意软件分析的集成环境。


恶意软件分析工具集成环境地址:

https://github.com/f0wl/MalwareLab_VM-Setup


该恶意软件分析集成环境,静态分析环境如下所示:

恶意软件分析工具集成环境

动态分析环境,如下所示:

恶意软件分析工具集成环境


环境安装

1.首先下载虚拟机,虚拟机类型可以选自己熟悉的,下载网站

https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,在这个页面选择虚拟机里面安装的操作系统版本和虚拟机类型,如下所示:

恶意软件分析工具集成环境

可选择的操作系统,如下:

IE8 on Win7(x86)、IE9 on Win7(x86)、

IE10 on Win7(x86)、IE11 on Win7(x86)、IE11 on Win81(x86)、MSEdge on Win10(x64) Stable 1809

可选择的虚拟机类型,如下:

VirtualBox、Vagrant、VMware(Windows,Mac)、HyperV(Windows)、Parallels(Mac)

操作系统选择MSEdge on Win10(x64) Stable 1809,虚拟机选择VMware(Windows,Mac)(虚拟机类型可以根据个人喜爱选择),如下所示:

恶意软件分析工具集成环境

下载上面选择的虚拟机压缩包即可。

2.下载之后,使用VMware打开下载的虚拟机,虚拟机密码:Passw0rd!,登录虚拟机操作系统,如下所示:

恶意软件分析工具集成环境

3.设置系统可以运行PowerShell脚本,使用命令行进行设置,如下所示:

恶意软件分析工具集成环境

4.下载PowerShell安装脚本,运行ps1脚本,安装恶意软件分析集成环境,如下所示:

恶意软件分析工具集成环境

可以选择安装恶意软件静态分析集成环境和动态分析集成环境,安装过程,如下所示:

恶意软件分析工具集成环境


脚本分析

1.安装脚本从相关的网站下载静态和动态分析工具,如下所示:

恶意软件分析工具集成环境

静态分析工具在static-tools.json文件里面,一共有58个,如下所示:

恶意软件分析工具集成环境

动态分析工具在dynamic-tools.json文件里面,一共有30个,如下所示:

恶意软件分析工具集成环境

2.从相关网站下载windows相关辅助分析工具,如下所示:

恶意软件分析工具集成环境

windows辅助分析工具在microsoft-tools.json文件里面,一共有6个,包含VS开发工具,Sysinternals工具集合以及Windows 10 SDK等,如下所示:

恶意软件分析工具集成环境

3.下载调试符号表,如下所示:

恶意软件分析工具集成环境

4.设置菜单和相关注册表项,如下所示:

恶意软件分析工具集成环境


工具介绍

这是一个集成的恶意软件分析平台,里面集成了很多静态分析工具和动态分析工具,还有一些开发和辅助工具等,给大家介绍一些常用的工具供大家参考:

(1)静态分析工具

PE分析工具:pestudio、PE-bear、StudyPE、DiE、DependencyWalker、PEid、

ResourceHacker、CFF Explorer、eXeScope

ELF分析工具:readelf

Mach-O分析工具:MachOView

PDF分析工具:PdfStreamDumper

NET分析工具:de4dot、NetMegaDumper、UnConfuserEx

Office文档分析工具:SSView、OffVis、oletools、rtfdump、VBAPass、objdump

反汇编分析工具:IDA、Radare2、Cutter、jd-gui、JEB、dnSpy、ILSpy、Apktool、ApkIDE

二进制编辑工具:010Editor、XVI32、HxD、WinHex、Hexplorer

(2)动态分析工具

动态调试工具:Ollydbg、Windbg、X64DBG、EDB、gdb、lldb、dnSpy、Radare2、IDA、JEB

网络抓包工具:WireShark、TcpDump、Charles、BrupBuite、Microsoft Network Monitor 3.4

进程监控工具:ProcMon、ApiMonitor、ProcessHacker


就像笔者之前所讲的,恶意软件分析包含非常多的专业知识,需要不断的学习,上面仅仅是简单的列举了一些笔者平时用的一些比较常用的工具,事实上专业的恶意软件研究人员在分析实战各种不同的样本的时候,还会使用很多很多的辅助工具以及分析脚本等,遇到不同的样本,会选择最合适的分析工具进行分析,可以极大的提高工作效率,有了分析环境和分析工具,最后还是需要自己多多实战分析,积累经验,现在网上的各种集成的平台、工具包以及教程都有很多了,最重要的还是不断地实战与坚持。


如果你想学习更多关于恶意软件威胁情报相关技术,可以加入笔者的安全分析与研究专业微信群进行学习,与群里的朋友们共同学习,共同进步。

题外话

最后说点题外话,与本主题无关,笔者曾说过2021年注定是一个不平凡的一年,这一年每个人都需要付出更多的努力,一定要脚踏实地,默默努力奋斗。


昨天笔者最喜欢的明星吴孟达因病去世,作为一名80后,周星驰和吴孟达一直是笔者最喜欢的两位明星,他们两位都是在用尽全力演戏,真正用心拍电影,专业尽业精神值得每一位演员和导演学习,周星驰这些年拍的电影里面包含了很多东西,很多人看不懂,说不好看,没有经历过的人基本看不懂他的电影想表达什么?这些东西,懂的人自然懂,不懂的人也没办法,他们曾经合作的每一部电影笔者都看了至少几十遍以上,数不清了,里面的很多经典台词也都是倒背如流,里面有很多东西值得学习,最后用重案组之虎曹达华的一句经典台词来记念一下达叔吧:你教我做事呀?

恶意软件分析工具集成环境


安全分析与研究


恶意软件分析工具集成环境

专注于全球恶意软件的分析与研究,跟踪全球最新的黑客组织攻击活动,提供最有价值的威胁情报,欢迎关注


恶意软件分析工具集成环境

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!

本文始发于微信公众号(安全分析与研究):恶意软件分析工具集成环境

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: