首页 > 网络安全 > 恶意软件分析工具集成环境
2021
03-01

恶意软件分析工具集成环境

前言

之前很多朋友对我的恶意软件分析虚拟机环境比较好奇,有些朋友还问我能不能共享一下我的恶意软件分析环境虚拟机,因为实在是太大了,而且做了很多快照,也不方便共享,在做恶意软件分析的时候,因为不同的恶意软件家族会使用不同恶意软件技术,同时会使用不同的编程语言进行编写,所以需要用到很多不同的工具,在分析不同类型样本的时候都会使用不同的工具进行分析,这样可以提高样本的分析效率,后面有时间再给大家详细介绍在分析各种不同类型样本的时候,一般都使用哪些工具,今天就给大家介绍一个恶意软件分析的集成环境。


恶意软件分析工具集成环境地址:

https://github.com/f0wl/MalwareLab_VM-Setup


该恶意软件分析集成环境,静态分析环境如下所示:

恶意软件分析工具集成环境-第1张图片-新之洲IDC资讯

动态分析环境,如下所示:

恶意软件分析工具集成环境-第2张图片-新之洲IDC资讯


环境安装

1.首先下载虚拟机,虚拟机类型可以选自己熟悉的,下载网站

https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/,在这个页面选择虚拟机里面安装的操作系统版本和虚拟机类型,如下所示:

恶意软件分析工具集成环境-第3张图片-新之洲IDC资讯

可选择的操作系统,如下:

IE8 on Win7(x86)、IE9 on Win7(x86)、

IE10 on Win7(x86)、IE11 on Win7(x86)、IE11 on Win81(x86)、MSEdge on Win10(x64) Stable 1809

可选择的虚拟机类型,如下:

VirtualBox、Vagrant、VMware(Windows,Mac)、HyperV(Windows)、Parallels(Mac)

操作系统选择MSEdge on Win10(x64) Stable 1809,虚拟机选择VMware(Windows,Mac)(虚拟机类型可以根据个人喜爱选择),如下所示:

恶意软件分析工具集成环境-第4张图片-新之洲IDC资讯

下载上面选择的虚拟机压缩包即可。

2.下载之后,使用VMware打开下载的虚拟机,虚拟机密码:Passw0rd!,登录虚拟机操作系统,如下所示:

恶意软件分析工具集成环境-第5张图片-新之洲IDC资讯

3.设置系统可以运行PowerShell脚本,使用命令行进行设置,如下所示:

恶意软件分析工具集成环境-第6张图片-新之洲IDC资讯

4.下载PowerShell安装脚本,运行ps1脚本,安装恶意软件分析集成环境,如下所示:

恶意软件分析工具集成环境-第7张图片-新之洲IDC资讯

可以选择安装恶意软件静态分析集成环境和动态分析集成环境,安装过程,如下所示:

恶意软件分析工具集成环境-第8张图片-新之洲IDC资讯


脚本分析

1.安装脚本从相关的网站下载静态和动态分析工具,如下所示:

恶意软件分析工具集成环境-第9张图片-新之洲IDC资讯

静态分析工具在static-tools.json文件里面,一共有58个,如下所示:

恶意软件分析工具集成环境-第10张图片-新之洲IDC资讯

动态分析工具在dynamic-tools.json文件里面,一共有30个,如下所示:

恶意软件分析工具集成环境-第11张图片-新之洲IDC资讯

2.从相关网站下载windows相关辅助分析工具,如下所示:

恶意软件分析工具集成环境-第12张图片-新之洲IDC资讯

windows辅助分析工具在microsoft-tools.json文件里面,一共有6个,包含VS开发工具,Sysinternals工具集合以及Windows 10 SDK等,如下所示:

恶意软件分析工具集成环境-第13张图片-新之洲IDC资讯

3.下载调试符号表,如下所示:

恶意软件分析工具集成环境-第14张图片-新之洲IDC资讯

4.设置菜单和相关注册表项,如下所示:

恶意软件分析工具集成环境-第15张图片-新之洲IDC资讯


工具介绍

这是一个集成的恶意软件分析平台,里面集成了很多静态分析工具和动态分析工具,还有一些开发和辅助工具等,给大家介绍一些常用的工具供大家参考:

(1)静态分析工具

PE分析工具:pestudio、PE-bear、StudyPE、DiE、DependencyWalker、PEid、

ResourceHacker、CFF Explorer、eXeScope

ELF分析工具:readelf

Mach-O分析工具:MachOView

PDF分析工具:PdfStreamDumper

NET分析工具:de4dot、NetMegaDumper、UnConfuserEx

Office文档分析工具:SSView、OffVis、oletools、rtfdump、VBAPass、objdump

反汇编分析工具:IDA、Radare2、Cutter、jd-gui、JEB、dnSpy、ILSpy、Apktool、ApkIDE

二进制编辑工具:010Editor、XVI32、HxD、WinHex、Hexplorer

(2)动态分析工具

动态调试工具:Ollydbg、Windbg、X64DBG、EDB、gdb、lldb、dnSpy、Radare2、IDA、JEB

网络抓包工具:WireShark、TcpDump、Charles、BrupBuite、Microsoft Network Monitor 3.4

进程监控工具:ProcMon、ApiMonitor、ProcessHacker


就像笔者之前所讲的,恶意软件分析包含非常多的专业知识,需要不断的学习,上面仅仅是简单的列举了一些笔者平时用的一些比较常用的工具,事实上专业的恶意软件研究人员在分析实战各种不同的样本的时候,还会使用很多很多的辅助工具以及分析脚本等,遇到不同的样本,会选择***合适的分析工具进行分析,可以极大的提高工作效率,有了分析环境和分析工具,***后还是需要自己多多实战分析,积累经验,现在网上的各种集成的平台、工具包以及教程都有很多了,***重要的还是不断地实战与坚持。


文章来源:安全分析与研究


本文》有 0 条评论

留下一个回复