---

name: malware-analyst description: 专注于防御性恶意软件研究、威胁情报和事件响应的恶意软件分析专家。精通沙箱分析、行为分析和恶意软件家族识别。 risk: unknown source: community date_added: '2026-02-27'

恶意软件分析

适用场景

• 处理文件识别任务或工作流时
• 需要文件识别的指导、最佳实践或检查清单时

不适用场景

• 任务与文件识别无关
• 需要此范围之外的其他领域或工具

使用说明

• 明确目标、约束和所需输入。
• 应用相关最佳实践并验证结果。
• 提供可操作的步骤和验证方法。
• 如需详细示例，请打开 resources/implementation-playbook.md。

分析流程

阶段 1：初始分类

# 文件识别
file sample.exe
sha256sum sample.exe

# 字符串提取
strings -a sample.exe | head -100
FLOSS sample.exe  # 混淆字符串

# 加壳检测
diec sample.exe   # Detect It Easy
exeinfope sample.exe

# 导入分析
rabin2 -i sample.exe
dumpbin /imports sample.exe

阶段 2：静态分析

1. 加载到反汇编器：IDA Pro、Ghidra 或 Binary Ninja
2. 识别主要功能：入口点、WinMain、DllMain
3. 映射执行流程：关键决策点、循环
4. 识别能力：网络、文件、注册表、进程操作
5. 提取 IOC：C2 地址、文件路径、互斥体名称

阶段 3：动态分析

1. 环境设置：
   - 安装常用软件的 Windows 虚拟机
   - Process Monitor、Wireshark、Regshot
   - API Monitor 或带日志的 x64dbg
   - INetSim 或 FakeNet 用于网络模拟

2. 执行：
   - 启动监控工具
   - 执行样本
   - 观察行为 5-10 分钟
   - 触发功能（连接网络等）

3. 记录：
   - 尝试的网络连接
   - 创建/修改的文件
   - 注册表更改
   - 生成的进程
   - 持久化机制

常见恶意软件技术

持久化机制

注册表 Run 键          - HKCU/HKLM\Software\Microsoft\Windows\CurrentVersion\Run
计划任务              - schtasks, Task Scheduler
服务                  - CreateService, sc.exe
WMI 订阅             - 用于执行的事件订阅
DLL 劫持             - 在搜索路径中放置 DLL
COM 劫持             - 注册表 CLSID 修改
启动文件夹           - %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
引导记录             - MBR/VBR 修改

规避技术

反虚拟机             - CPUID、注册表检查、时间检测
反调试               - IsDebuggerPresent, NtQueryInformationProcess
反沙箱               - 睡眠加速检测、鼠标移动
加壳                 - UPX, Themida, VMProtect, 自定义壳
混淆                 - 字符串加密、控制流平坦化
进程镂空             - 注入到合法进程
就地取材             - 使用内置工具（PowerShell, certutil）

C2 通信

HTTP/HTTPS           - Web 流量伪装
DNS 隧道            - 通过 DNS 查询进行数据外泄
域名生成            - DGA 实现弹性 C2
Fast flux           - 快速变化的 DNS
Tor/I2P             - 匿名网络
社交媒体            - Twitter、Pastebin 作为 C2 通道
云服务              - 合法服务作为 C2

工具熟练度

分析平台

Cuckoo Sandbox      - 开源自动化分析
ANY.RUN             - 交互式云沙箱
Hybrid Analysis     - VirusTotal 替代方案
Joe Sandbox         - 企业级沙箱解决方案
CAPE                - Cuckoo 增强分支

监控工具

Process Monitor     - 文件、注册表、进程活动
Process Hacker      - 高级进程管理
Wireshark           - 网络数据包捕获
API Monitor         - Win32 API 调用日志
Regshot             - 注册表变更比较

脱壳工具

Unipacker           - 自动化脱壳框架
x64dbg + 插件      - Scylla 用于 IAT 重建
OllyDumpEx          - 内存转储和重建
PE-sieve            - 检测镂空进程
UPX                 - 用于 UPX 加壳样本

IOC 提取

需要提取的指标

Network:
  - IP 地址（C2 服务器）
  - 域名
  - URL
  - User-Agent 字符串
  - JA3/JA3S 指纹

File System:
  - 创建的文件路径
  - 文件哈希（MD5, SHA1, SHA256）
  - 文件名
  - 互斥体名称

Registry:
  - 修改的注册表键
  - 持久化位置

Process:
  - 进程名称
  - 命令行参数
  - 被注入的进程

YARA 规则

rule Malware_Generic_Packer
{
    meta:
        description = "Detects common packer characteristics"
        author = "Security Analyst"

    strings:
        $mz = { 4D 5A }
        $upx = "UPX!" ascii
        $section = ".packed" ascii

    condition:
        $mz at 0 and ($upx or $section)
}

报告模板

分析报告应包含：

1. 执行摘要：恶意软件类型、严重程度、影响
2. 技术分析：详细的行为和代码分析
3. IOC 列表：所有提取的威胁指标
4. MITRE ATT&CK 映射：使用的战术和技术
5. 缓解建议：检测和防护措施

限制

• 仅在任务明确匹配上述范围时使用此技能。
• 不要将输出视为环境特定验证、测试或专家审查的替代品。
• 如果缺少所需输入、权限、安全边界或成功标准，请停下来寻求澄清。