malware-analyst
资深恶意软件分析师,专注于防御性恶意软件研究、威胁情报与事件响应。精通沙箱分析、行为分析及恶意软件家族识别,擅长静态/动态分析、解包和IOC提取。适用于恶意软件分级分类、威胁狩猎、事件响应及安全研究的主动防御场景。
作者
分类
其他工具安装
热度:5
下载并解压到你的 skills 目录
复制命令,发送给 OpenClaw 自动安装:
下载并安装这个技能 https://openskills.cc/api/download?slug=sickn33-skills-malware-analyst&locale=zh&source=copy
Malware Analyst - 恶意软件分析专家技能
技能概述
Malware Analyst 是一款专注于防御性恶意软件研究的 AI 分析技能,提供从静态分析到动态沙箱执行的完整恶意样本分析能力,帮助安全分析师快速完成样本分类、IOC 提取和威胁情报生成。
适用场景
1. 事件响应与应急处理
当安全团队发现可疑样本时,可快速进行恶意软件分类、提取网络 IOC 和持久化机制,为阻断和处置提供关键情报。
2. 威胁狩猎与情报研究
通过对样本进行深度的行为分析和家族识别,关联已知威胁组织,追踪攻击者的 TTP(战术、技术和程序)。
3. CTF 竞赛与安全学习
为安全从业者和学生提供完整的分析框架指导,涵盖加壳检测、字符串提取、反混淆等实用技巧。
核心功能
1. 静态与动态分析引擎
支持文件哈希识别、导入表分析、字符串提取、加壳检测等静态分析,以及沙箱行为监控、网络流量捕获、注册表变更追踪等动态分析能力。
2. IOC 自动提取
自动提取网络指标(IP、域名、URL)、文件系统指标(创建路径、文件哈希、互斥体)、注册表修改点等威胁指标,支持生成 YARA 检测规则。
3. 行为特征识别
识别常见持久化机制(注册表 Run 键、计划任务、WMI 订阅)、反虚拟机/反调试技术、进程注入、C2 通信模式等恶意行为特征。
常见问题
恶意软件分析的完整流程是什么?
完整流程通常包括四个阶段:初步识别(文件哈希、类型判断)、静态分析(反编译、字符串、导入表)、动态分析(沙箱执行、行为监控)和报告生成(IOC 提取、威胁评级)。
静态分析和动态分析有什么区别?
静态分析不执行恶意代码,通过检查文件结构、字符串、导入导出表等推断功能;动态分析则在受控环境中运行样本,直接观察其网络通信、文件操作、进程行为等实际表现。两者结合可获得更全面的样本画像。
如何检测加壳和混淆的恶意样本?
可通过专用工具如 Detect It Easy、exeinfope 进行加壳器识别,或通过熵值分析、节区异常判断。加壳样本通常需要先使用 Unipacker、x64dbg+Scylla 等工具进行脱壳,再进行后续分析。