恶意代码样本人工分析的价值——MAE免费版发布絮语之一

小编说明：样本集成化分析环境免费版，于2025年12月18日开始提供开放下载。安天联合创始人、技术委员会副主任李柏松作为分析环境研发组负责人，写了几篇絮语，包括《恶意代码样本人工分析的价值》、《MAE的特点和价值》、《逆向分析者的心路》等，今日发布首篇。

安天MAE（Malware Analysis Environment）样本集成化分析环境客户端免费版可以在线下载了，没搞“发布仪式”，采用了最简单的方式——12月17日，申请可执行文件签名、打包、安装包再签名，然后我把安装包上传到网盘上，并在创意安天刚刚开设的MAE版，设置了一个12月18日中午12点自动发布网盘地址的帖子，就算发布了。

恶意代码样本分析既是一项基础的工作，也是复杂的工作，涵盖了样本判定、运行机理分析、攻击向量与特征提取、能力评估及来源分析等多个环节。这项工作对分析人员提出了极高的综合要求：不仅需要扎实的逆向工程能力、对系统底层（包括内核）的深入理解，还需具备一定的软件架构正向认知，以及对攻击技术、战术乃至攻击组织的全面掌握。从业界来看，恶意代码样本的人工分析依然主要依靠分析人员的经验习惯+多种工具的组合运用。这就难免会导致分析的深度、质量与全面性高度取决于分析人员的个人能力。正因如此，样本分析至今仍带有强烈的“经验性”和“艺术性”的色彩，难以被彻底转化为可重复、可验证的标准化流程，也阻碍了统一的质量、规格的建立。这种现状，最终制约了威胁分析工作整体效率和可靠性的进一步提升。

MAE是我和CERT（安天安全研究与应急处理中心）同事们日常进行恶意代码样本分析的工具环境。我们的分析任务来自“赛博超脑”平台推送，“赛博超脑”是我们的样本自动化分析、处理平台，支撑我们从样本逆向分析、恶意代码分类命名、代码和向量标注、特征提取、攻击技战术标注到分析报告编写等一系列工作。这些工作需要工具环境的支持，但目前还没有成熟的工具环境，因此我们总是需要自研编写一些小工具。无奈的是，安天CERT的编码能力，是安天各技术部门中最弱的，我们打造MAE的目标，并非追求与IDA Pro等卓越的逆向分析工具比肩的能力深度，更不是简单地提供这类工具的“国产代用品”，而是希望让分析人员更多地按照威胁分析的工作要求和流程要求开展工作，降低分析者的心智负担。正如Seak厂长所要求的，“集成化分析工具的意义是通过环境塑造和固化人工分析工作的流程，并实现对分析输出的有效品控”，最终是想把个人经验转化为团队可复用、可检验的稳定能力，实现高质量、规模化、可持续的威胁分析输出。

在MAE免费版中，我们裁剪掉了较多功能。例如，暂时去掉了与分析平台的联动的机理和模块，只保留了PE分析相关的部分功能分支。这样做是有必要的，因为我们必须在面向安全工作者的开放和面向攻击者的不透明间找到平衡点。需要坦诚说明的是，MAE最初只是我们为自己打造的“内部工坊”工具，边用边改，在代码结构上确实比较“野生”。因此，为了发布公开的版本，我们不得不做过度裁剪。我们会在后续迭代中，逐渐恢复其中的部分功能，并增加新的插件。MAE中也包含了一些优秀的开源组件和资源，我们已经在MAE的帮助信息中做出说明。如果大家发现任何遗漏，非常欢迎告诉我们！

由于剪裁干扰到了部分功能的闭合，MAE免费版的首个版本，状态属于“可展示，但不太好用”阶段。我们将其视为一个起点——一个让更多人了解并参与威胁分析工作的窗口。安天CERT希望通过打开这扇窗，让网络安全爱好者、网络安全专业学生以及所有感兴趣的人，能在一个真实的工具环境中，切身感受威胁分析工程师是如何思考与工作的。我们更深的期望是，借此逐步破除外界对样本人工分析的一些常见误解，例如认为“人工分析就是写报告”、“就是枯燥的逆向破解”，尤其是那种危险的论调——“分析工程师不再被需要，AI将会搞定一切”。

长期以来，外界对恶意代码样本的人工分析存在一些误解：它常被简单地等同于逆向工程，继而逆向工程又被简化理解为“反汇编”， “反汇编”又自然地被理解为“破解”。于是，整个威胁分析所需的能力与技术栈，往往就被简单地等同于逆向、破解。我个人最初也是从一个“Cracker”的视角来看待病毒分析的。但加入安天后，亲身经历了“红色代码II”、“口令蠕虫”等重大网络安全事件的应急响应与分析实战，我才逐步重新认识到恶意代码样本人工分析工作的真正价值所在。

从安天反病毒引擎的运营角度看，样本分析的首要价值，是对查杀能力的支撑。安天每天捕获的百万量级的新增文件，并不是我们的工作对象——这是“赛博超脑”的样本自动化分析与特征提取模块需要完成的工作。人工分析需要完成的是“疑难杂症”的处理。比如解决自动化提取特征带来的误报、“黑白判断”冲突等，以及感染式病毒、宏病毒等的清除工作所需的编写处理参数、处置脚本，甚至处理模块相关工作。人工分析不仅是特征工程体系的基础，更为人工智能创造了最宝贵的高价值基础数据。

从安天EDR的运营来角度看，样本分析工作的重要价值，是改善主防的有效性，寻找防御点，面对“白+黑”、内存马、缓冲区溢出、格式执行等各种情况，深入分析样本的作用机理，协助端点研发工程师寻找有效的防御点。此时，人工分析是改善系统主防能力的辅助。

面对网络管理者，样本分析工作可以提供信息报告、辅助情报生产，为网管提供威胁的作用机理、利用漏洞情况、对资产和应用的影响、攻击致效的前提条件、可以改善的配置策略或可配置（消费）情报等信息；面对主管部门和安全社区，样本分析提供相关事件呈报，支撑对威胁真实情况的了解，通过威胁的作用机理、影响有效范围、适合的响应手段，辅助完成相关研判工作；面对公众，样本分析也为提供真实、客观的威胁情况，解开恶意代码和攻击威胁的神秘面纱，提供了客观严谨的基础素材，既避免无视安全所带来的麻木，也避免过度炒作带来的恐慌。

安天CERT始终引以为傲的是，我们对外方网络攻击活动的样本分析与事件响应工作，不仅有力支撑了网络空间层面的国家安全斗争，也是中国网络安全工作者履行国际主义责任的一种体现。这也是样本分析工作的战略价值所在。