ctf-malware

Name: ctf-malware
Author: wgpsec/AboutSecurity

$npx mdskill add wgpsec/AboutSecurity/ctf-malware

Analyze malware samples and reverse-engineer C2 traffic.

Decodes obfuscated scripts, PE binaries, and encrypted protocols.
Uses IDA, Ghidra, Frida, x64dbg, Wireshark, and Vol3.
Selects analysis paths via a decision tree for malware types.
Outputs actionable findings on reverse-engineering and traffic patterns.

SKILL.md

.github/skills/ctf-malwareView on GitHub ↗

---
name: ctf-malware
description: "CTF 恶意软件分析技术。当遇到混淆脚本分析、C2 流量还原、PE/.NET 恶意样本逆向、自定义加密协议解析、YARA 规则编写、Shellcode 分析等 CTF 恶意软件分析类挑战时使用。覆盖静态分析（IDA/Ghidra）、动态调试（Frida/x64dbg）、流量分析（Wireshark）、内存取证等"
metadata:
  tags: "ctf,malware,恶意软件,c2,pe,dotnet,yara,shellcode,混淆,流量分析"
  category: "ctf"
---

# CTF 恶意软件分析

## 深入参考

以下参考资料**按需加载**，根据识别出的具体方向选择对应文件：

- 脚本反混淆与动态分析（JS/PowerShell/YARA/Shellcode/内存取证） → [references/scripts-and-obfuscation.md](references/scripts-and-obfuscation.md)
- C2 流量与自定义协议（RC4 WebSocket/DNS C2/AES-CBC/Telegram Bot） → [references/c2-and-protocols.md](references/c2-and-protocols.md)
- PE/.NET 分析（peframe/dnSpy/LimeRAT/PyInstaller+PyArmor） → [references/pe-and-dotnet.md](references/pe-and-dotnet.md)

---

## 分类决策树

```
恶意软件分析题？
├─ 脚本类
│  ├─ JS → eval 替换为 console.log → 解码 unescape/atob
│  ├─ PowerShell → -enc base64解码 → IEX 替换为输出
│  ├─ Bash → eval 替换为 echo → base64/hex 提取
│  └─ Debian包 → ar -x → 检查 postinst 脚本
├─ 二进制类
│  ├─ PE → peframe/pestudio 快速分类 → [references/pe-and-dotnet.md](references/pe-and-dotnet.md)
│  ├─ .NET → dnSpy 反编译 → AsmResolver 编程分析
│  ├─ PyInstaller → pyinstxtractor 提取 → PyArmor 脱壳
│  └─ 查加密常量: AES S-box(0x637c777b) / ChaCha20 / TEA(0x9E3779B9) / RC4
├─ 流量分析
│  ├─ PCAP → tshark 提取流 → 识别 C2 模式
│  ├─ 自定义加密 → 找密钥 → 按时间序拼接解密
│  ├─ DNS C2 → 域名编码 / DGA 模式
│  └─ RC4 WebSocket → tcprewrite 重映射端口 → 找RC4密钥
├─ 反分析检测
│  ├─ VM检测 → CPUID/MAC/注册表/磁盘大小
│  ├─ 调试器 → PEB/时间检测/API哈希
│  └─ 进程注入 → hollowing/APC/CreateRemoteThread
└─ 内存取证 → vol3 malfind + YARA 扫描
```

## 快速分析命令

```bash
# 文件快速分类
file malware && strings -n 8 malware | head -50

# 提取网络指标
strings malware | grep -E '[0-9]{1,3}(\.[0-9]{1,3}){3}'

# PCAP 流量分析
tshark -r capture.pcap -Y "tcp.stream eq 0" -T fields -e tcp.payload

# PE 分析
peframe malware.exe

# 内存取证
vol3 -f memory.dmp windows.malfind
vol3 -f memory.dmp windows.pstree
```

## 加密算法识别

| 特征 | 算法 |
|------|------|
| S-box `0x637c777b` | AES |
| `expand 32-byte k` | ChaCha20 |
| `0x9E3779B9` | TEA/XTEA |
| 256字节 S-box 顺序初始化 | RC4 |
| MD5/SHA256(硬编码字符串) | AES-CBC 密钥派生 |

## YARA 速查

```yara
rule XOR_Loop { strings: $xor = { 31 ?? 80 ?? ?? 4? 75 } condition: $xor }
```

## 反混淆技巧

| 语言 | 方法 |
|------|------|
| JavaScript | `eval` → `console.log` |
| PowerShell | `-enc` base64解码 / `IEX` → 输出 |
| Bash | `eval` → `echo` |
| 垃圾代码 | 过滤 NOP/push-pop/死写 → 提取真实 call |

## Shellcode 分析

```bash
objdump -b binary -m i386:x86-64 -D shellcode.bin  # 反汇编
# Unicorn 模拟执行 / Capstone 编程反汇编
```

## PowerShell 混淆
- 多层嵌套编码，需递归解码（可能多层混淆）

## C2 流量分析
- DNS C2：检查子域名（subdomain）、qname 查询域名中的编码数据

More from wgpsec/AboutSecurity

Skill	Description
401-403-bypass	401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuse	Active Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attack	Kerberos 委派攻击（非约束/约束/RBCD）。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户，常用于域内权限提升和横向移动。
ad-domain-attack	Active Directory 域环境攻击全链路。当目标主机在域环境中（systeminfo 显示 Domain 非 WORKGROUP）、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistence	AD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化（计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹）、域级持久化（Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder）、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack	域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权（Golden Ticket + ExtraSid）、跨林攻击（SID History/MSSQL Trust Links）、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attack	Active Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum	使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具，一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security	\|
ai-data-security	\|