恶意软件分析工具集成环境

文章来源：安全分析与研究

前言

之前很多朋友对我的恶意软件分析虚拟机环境比较好奇，有些朋友还问我能不能共享一下我的恶意软件分析环境虚拟机，因为实在是太大了，而且做了很多快照，也不方便共享，在做恶意软件分析的时候，因为不同的恶意软件家族会使用不同恶意软件技术，同时会使用不同的编程语言进行编写，所以需要用到很多不同的工具，在分析不同类型样本的时候都会使用不同的工具进行分析，这样可以提高样本的分析效率，后面有时间再给大家详细介绍在分析各种不同类型样本的时候，一般都使用哪些工具，今天就给大家介绍一个恶意软件分析的集成环境。

恶意软件分析工具集成环境地址：

https://github.com/f0wl/MalwareLab_VM-Setup

该恶意软件分析集成环境，静态分析环境如下所示：

动态分析环境，如下所示：

环境安装

1.首先下载虚拟机，虚拟机类型可以选自己熟悉的，下载网站

https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/，在这个页面选择虚拟机里面安装的操作系统版本和虚拟机类型，如下所示：

可选择的操作系统，如下：

IE8 on Win7(x86)、IE9 on Win7(x86)、

IE10 on Win7(x86)、IE11 on Win7(x86)、IE11 on Win81(x86)、MSEdge on Win10(x64) Stable 1809

可选择的虚拟机类型，如下：

VirtualBox、Vagrant、VMware(Windows,Mac)、HyperV(Windows)、Parallels(Mac)

操作系统选择MSEdge on Win10(x64) Stable 1809，虚拟机选择VMware(Windows,Mac)(虚拟机类型可以根据个人喜爱选择)，如下所示：

下载上面选择的虚拟机压缩包即可。

2.下载之后，使用VMware打开下载的虚拟机，虚拟机密码：Passw0rd!，登录虚拟机操作系统，如下所示：

3.设置系统可以运行PowerShell脚本，使用命令行进行设置，如下所示：

4.下载PowerShell安装脚本，运行ps1脚本，安装恶意软件分析集成环境，如下所示：

可以选择安装恶意软件静态分析集成环境和动态分析集成环境，安装过程，如下所示：

脚本分析

1.安装脚本从相关的网站下载静态和动态分析工具，如下所示：

静态分析工具在static-tools.json文件里面，一共有58个，如下所示：

动态分析工具在dynamic-tools.json文件里面，一共有30个，如下所示：

2.从相关网站下载windows相关辅助分析工具，如下所示：

windows辅助分析工具在microsoft-tools.json文件里面，一共有6个，包含VS开发工具，Sysinternals工具集合以及Windows 10 SDK等，如下所示：

3.下载调试符号表，如下所示：

4.设置菜单和相关注册表项，如下所示：

工具介绍

这是一个集成的恶意软件分析平台，里面集成了很多静态分析工具和动态分析工具，还有一些开发和辅助工具等，给大家介绍一些常用的工具供大家参考：

(1)静态分析工具

PE分析工具：pestudio、PE-bear、StudyPE、DiE、DependencyWalker、PEid、

ResourceHacker、CFF Explorer、eXeScope

ELF分析工具：readelf

Mach-O分析工具：MachOView

PDF分析工具：PdfStreamDumper

NET分析工具：de4dot、NetMegaDumper、UnConfuserEx

Office文档分析工具：SSView、OffVis、oletools、rtfdump、VBAPass、objdump

反汇编分析工具：IDA、Radare2、Cutter、jd-gui、JEB、dnSpy、ILSpy、Apktool、ApkIDE

二进制编辑工具：010Editor、XVI32、HxD、WinHex、Hexplorer

(2)动态分析工具

动态调试工具：Ollydbg、Windbg、X64DBG、EDB、gdb、lldb、dnSpy、Radare2、IDA、JEB

网络抓包工具：WireShark、TcpDump、Charles、BrupBuite、Microsoft Network Monitor 3.4

进程监控工具：ProcMon、ApiMonitor、ProcessHacker

就像笔者之前所讲的，恶意软件分析包含非常多的专业知识，需要不断的学习，上面仅仅是简单的列举了一些笔者平时用的一些比较常用的工具，事实上专业的恶意软件研究人员在分析实战各种不同的样本的时候，还会使用很多很多的辅助工具以及分析脚本等，遇到不同的样本，会选择最合适的分析工具进行分析，可以极大的提高工作效率，有了分析环境和分析工具，最后还是需要自己多多实战分析，积累经验，现在网上的各种集成的平台、工具包以及教程都有很多了，最重要的还是不断地实战与坚持。