恶意软件分析工具集成环境

前言

之前很多朋友对我的恶意软件分析虚拟机环境比较好奇,有些朋友还问我能不能共享一下我的恶意软件分析环境虚拟机,因为实在是太大了,而且做了很多快照,也不方便共享,在做恶意软件分析的时候,因为不同的恶意软件家族会使用不同恶意软件技术,同时会使用不同的编程语言进行编写,所以需要用到很多不同的工具,在分析不同类型样本的时候都会使用不同的工具进行分析,这样可以提高样本的分析效率,后面有时间再给大家详细介绍在分析各种不同类型样本的时候,一般都使用哪些工具,今天就给大家介绍一个恶意软件分析的集成环境。

恶意软件分析工具集成环境地址:

https://github.com/f0wl/MalwareLab_VM-Setup

该恶意软件分析集成环境,静态分析环境如下所示:

动态分析环境,如下所示:

环境安装

1.首先下载虚拟机,虚拟机类型可以选自己熟悉的,下载网站

https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,在这个页面选择虚拟机里面安装的操作系统版本和虚拟机类型,如下所示:

可选择的操作系统,如下:

IE8 on Win7(x86)、IE9 on Win7(x86)、

IE10 on Win7(x86)、IE11 on Win7(x86)、IE11 on Win81(x86)、MSEdge on Win10(x64) Stable 1809

可选择的虚拟机类型,如下:

VirtualBox、Vagrant、VMware(Windows,Mac)、HyperV(Windows)、Parallels(Mac)

操作系统选择MSEdge on Win10(x64) Stable 1809,虚拟机选择VMware(Windows,Mac)(虚拟机类型可以根据个人喜爱选择),如下所示:

下载上面选择的虚拟机压缩包即可。

2.下载之后,使用VMware打开下载的虚拟机,虚拟机密码:Passw0rd!,登录虚拟机操作系统,如下所示:

3.设置系统可以运行PowerShell脚本,使用命令行进行设置,如下所示:

4.下载PowerShell安装脚本,运行ps1脚本,安装恶意软件分析集成环境,如下所示:

可以选择安装恶意软件静态分析集成环境和动态分析集成环境,安装过程,如下所示:

脚本分析

1.安装脚本从相关的网站下载静态和动态分析工具,如下所示:

静态分析工具在static-tools.json文件里面,一共有58个,如下所示:

动态分析工具在dynamic-tools.json文件里面,一共有30个,如下所示:

2.从相关网站下载windows相关辅助分析工具,如下所示:

windows辅助分析工具在microsoft-tools.json文件里面,一共有6个,包含VS开发工具,Sysinternals工具集合以及Windows 10 SDK等,如下所示:

3.下载调试符号表,如下所示:

4.设置菜单和相关注册表项,如下所示:

工具介绍

这是一个集成的恶意软件分析平台,里面集成了很多静态分析工具和动态分析工具,还有一些开发和辅助工具等,给大家介绍一些常用的工具供大家参考:

(1)静态分析工具

PE分析工具:pestudio、PE-bear、StudyPE、DiE、DependencyWalker、PEid、

ResourceHacker、CFF Explorer、eXeScope

ELF分析工具:readelf

Mach-O分析工具:MachOView

PDF分析工具:PdfStreamDumper

NET分析工具:de4dot、NetMegaDumper、UnConfuserEx

Office文档分析工具:SSView、OffVis、oletools、rtfdump、VBAPass、objdump

反汇编分析工具:IDA、Radare2、Cutter、jd-gui、JEB、dnSpy、ILSpy、Apktool、ApkIDE

二进制编辑工具:010Editor、XVI32、HxD、WinHex、Hexplorer

(2)动态分析工具

动态调试工具:Ollydbg、Windbg、X64DBG、EDB、gdb、lldb、dnSpy、Radare2、IDA、JEB

网络抓包工具:WireShark、TcpDump、Charles、BrupBuite、Microsoft Network Monitor 3.4

进程监控工具:ProcMon、ApiMonitor、ProcessHacker

就像笔者之前所讲的,恶意软件分析包含非常多的专业知识,需要不断的学习,上面仅仅是简单的列举了一些笔者平时用的一些比较常用的工具,事实上专业的恶意软件研究人员在分析实战各种不同的样本的时候,还会使用很多很多的辅助工具以及分析脚本等,遇到不同的样本,会选择最合适的分析工具进行分析,可以极大的提高工作效率,有了分析环境和分析工具,最后还是需要自己多多实战分析,积累经验,现在网上的各种集成的平台、工具包以及教程都有很多了,最重要的还是不断地实战与坚持。

如果你想学习更多关于恶意软件威胁情报相关技术,可以加入笔者的安全分析与研究专业微信群进行学习,与群里的朋友们共同学习,共同进步。

题外话

最后说点题外话,与本主题无关,笔者曾说过2021年注定是一个不平凡的一年,这一年每个人都需要付出更多的努力,一定要脚踏实地,默默努力奋斗。

昨天笔者最喜欢的明星吴孟达因病去世,作为一名80后,周星驰和吴孟达一直是笔者最喜欢的两位明星,他们两位都是在用尽全力演戏,真正用心拍电影,专业尽业精神值得每一位演员和导演学习,周星驰这些年拍的电影里面包含了很多东西,很多人看不懂,说不好看,没有经历过的人基本看不懂他的电影想表达什么?这些东西,懂的人自然懂,不懂的人也没办法,他们曾经合作的每一部电影笔者都看了至少几十遍以上,数不清了,里面的很多经典台词也都是倒背如流,里面有很多东西值得学习,最后用重案组之虎曹达华的一句经典台词来记念一下达叔吧:你教我做事呀?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/694989.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

物联网在智慧景区中的应用:提升游客体验与运营效率

目录 一、物联网技术概述 二、物联网在智慧景区中的应用 1、智能门票系统 2、智能导览系统 3、智能安全监控系统 4、智能环保系统 三、物联网在智慧景区中提升游客体验 1、提高游览便捷性 2、个性化服务体验 3、提升游客安全感 四、物联网在智慧景区中提升运营效率 …

Chromium的下载地址

Chromium的下载地址: Download Chromiumhttps://www.chromium.org/getting-involved/download-chromium/ https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html?prefixWin_x64/https://commondatastorage.googleapis.com/chromium-br…

【数学建模入门】

数学建模入门 数学建模需要的学科知识怎么学习数学模型如何读好一篇优秀论文数学建模赛题常见类别数学建模常见问题数学建模组队和分工数学建模准备工作 数学建模需要的学科知识 怎么学习数学模型 💦推荐阅读书籍: 《数学建模算法与应用》,…

制冷系统12大阀件的详细图文介绍

四通阀,液压阀术语,是具有四个油口的控制阀。 四通阀工作原理: 当电磁阀线圈处于断电状态,先导滑阀在右侧压缩弹簧驱动下左移,高压气体进入毛细管后进入右端活塞腔,另一方面,左端活塞腔的气体排…

Py之pydantic:pydantic的简介、安装、使用方法之详细攻略

Py之pydantic:pydantic的简介、安装、使用方法之详细攻略 目录 pydantic的简介 1、Pydantic V1.10 vs. V2 pydantic的安装 pydantic的使用方法 1、简单的示例 pydantic的简介 pydantic是使用Python类型提示进行数据验证。快速且可扩展,Pydantic与您…

从源码解析Kruise(K8S)原地升级原理

从源码解析Kruise原地升级原理 本文从源码的角度分析 Kruise 原地升级相关功能的实现。 本篇Kruise版本为v1.5.2。 Kruise项目地址: https://github.com/openkruise/kruise 更多云原生、K8S相关文章请点击【专栏】查看! 原地升级的概念 当我们使用deployment等Wor…

【Node.js】介绍、下载及安装

目录 一、什么是 Node.js 二、Node.js下载 下载方式1:直接在首页下载(下载的是.msi后缀的安装包) 下载方式2:点击官网顶上的DOWNLOAD 三、Node.js安装 .zip后缀的安装步骤 .msi后缀的安装步骤 一、什么是 Node.js Node.js …

合金电阻器生产中的制造工艺和质量控制?

合金电阻器是电子电路功能不可或缺的一部分,经过细致的制造工艺和严格的质量控制措施,以确保其精度和可靠性。本文深入探讨了合金电阻器生产中采用的关键制造技术和实施的质量控制协议。 1.合金成分及选择: 制造过程从精心选择合金材料开始。…

Apache服务

目录 引言 一、常见的http服务程序 (一)lls (二)nginx (三)Apache (四)Tomcat 二、Apache特点 三、Apache服务的安装 (一)yum安装及配置文件 1.配置…

每日OJ题_二叉树dfs④_力扣98. 验证二叉搜索树

目录 力扣98. 验证二叉搜索树 解析代码 力扣98. 验证二叉搜索树 98. 验证二叉搜索树 难度 中等 给你一个二叉树的根节点 root ,判断其是否是一个有效的二叉搜索树。 有效 二叉搜索树定义如下: 节点的左子树只包含 小于 当前节点的数。节点的右子树…

利用eds editor生成CANOPEN 设备eds文件

使用CANopen EDS Editor生成CANOPEN设备的EDS文件是一个系统化的过程,它涉及将设备的具体技术参数和功能映射到CANopen规范定义的对象字典中。以下是一般步骤概览: 启动编辑器: 打开CANopen EDS Editor软件,通常可以通过桌面快捷方…

mac 安装H3C iNode + accessClient mac版

一、下载安装 官网下载地址 https://www.h3c.com/cn/Service/Document_Software/Software_Download/IP_Management/ 可以使用文末参考博文中的账号 yx800 密码 01230123登录下载 选择版本 下载 下载 H3C_iNode_PC_7.3_E0626.zip 文件后,解压下载到的PC端压缩包…

迈向三维:vue3+Cesium.js三维WebGIS项目实战--持续更新中

写在前面:随着市场对数字孪生的需求日益增多,对于前端从业者的能力从对框架vue、react的要求,逐步扩展到2D、3D空间的交互,为用户提供更紧密的立体交互。近年来前端对GIS的需求日益增多。本文将记录WebGIS的学习之旅,从…

R cox回归 ggDCA报错

临床预测模型的决策曲线分析(DCA):基于ggDCA包 决策曲线分析法(decision curve analysis,DCA)是一种评估临床预测模型、诊断试验和分子标记物的简单方法。 我们在传统的诊断试验指标如:敏感性&a…

数据结构·顺序表

1数据结构简介 学习数据结构与算法之前,一般是先学数据结构,方便之后学习算法,那么数据结构拆开介绍,就是数据 和 结构,数据,生活中到处都是,结构,就是数据存储的方式,即…

支付宝小程序实现类似微信多行输入

先来看看微信小程序输入框展示效果: 输入超过 8 行的时候会出现滚动,这样做的好处就是输入框不会直接顶到页面最顶部。 支付宝小程序实现多行输入框:使用textarea多行输入框实现 思路一: textarea 标签设置max-height, 标签自…

【Git教程】(二)入门 ——关于工作区与版本库、版本提交、查看信息、克隆、推送与拉回的简单介绍 ~

Git教程 入门 1️⃣ 准备Git 环境1.1 创建版本库1.2 首次提交1.3 显示历史 2️⃣ Git 的协作功能2.1 克隆版本库2.2 从另一版本库中获取修改2.3 从任意版本库中取回修改2.4 创建共享版本库2.5 用 push 命令上载修改2.6 Pull 命令:取回修改 🌾 总结 如果…

跳表是一种什么样的数据结构

跳表是有序集合的底层数据结构,它其实是链表的一种进化体。正常链表是一个接着一个用指针连起来的,但这样查找效率低只有O(n),为了解决这个问题,提出了跳表,实际上就是增加了高级索引。朴素的跳表指针是单向的并且元素…

ArcgisForJS如何访问Arcgis Server?

文章目录 0.引言1.准备ArcGIS相关工具2.创建含有ArcSDE地理数据库的MXD文件3.注册ArcSDE地理数据库4.发布数据到Arcgis Server5.ArcgisForJS访问ArcGIS Server数据 0.引言 ArcGIS API for JavaScript 是一个用于在Web和移动应用程序中创建交互式地图和地理空间分析应用的库。它…

解决MobaXterm网络错误连接超时问题

报错页面: 报错原因: ①网络断开了 ②网络端口,端口号改变 解决办法: ①重新连接网络按R ②固定端口号 第一步:编辑------>虚拟机网络编辑器(我的Linux在虚拟机里) 第二步:用…