文章总结： 本文介绍了轻量级恶意软件分析工具Noriben的功能优势，详细说明了环境搭建与操作流程。文档重点解析了生成的报告文件结构，指导读者如何通过进程、文件、注册表及网络流量等关键指标识别恶意软件特征。内容面向新手，提供了清晰的实战步骤与分析重点，具备较高可操作性。 综合评分： 85 文章分类： 恶意软件,安全工具,逆向分析,实战经验

零基础也能分析病毒！Noriben新手入门指南

原创

weiqin weiqin

大仙安全说

2026年3月8日 17:32 北京

点击蓝字，关注我们

大

仙

免责声明

大仙安全说的技术文章仅供参考，此文所提供的信息只为网络安全人员进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他! ! !

Noriben项目介绍

Noriben是一款基于 Python 的轻量级恶意软件分析工具，它与 Sysinternals 的 Procmon（Process Monitor）配合使用，能够自动收集、分析和报告恶意软件的运行时行为。工具无需复杂配置，特别适合 malware 分析新手快速上手。

与传统沙箱相比，Noriben最大的优势在于灵活性。它允许分析师手动控制恶意软件的执行流程，这对于那些需要特定触发条件（如命令行参数、用户交互或调试操作）的恶意样本尤为重要。

Noriben 不仅用于恶意软件分析，还被 Tor 项目等组织用于审计正常软件的行为。它的开源特性和活跃的社区支持，使其成为安全研究者工具箱中的重要一员。

Noriben基本使用

环境准备

开始使用 Noriben 前，你需要准备以下组件：

1.Python 3.x（推荐 3.10-3.12 版本以获得最佳兼容性）

2.Noriben 脚本文件（从 GitHub 仓库 获取）

3.Procmon64.exe（使用英文的）

4.一个隔离的分析环境

文件放置非常关键，请将 Procmon.exe 与 Noriben.py 放在同一目录下，否则可能出现 “PermissionError: Access is denied” 等错误。

基本操作步骤

1.手动分析模式（适合需要交互的恶意样本）：

python Noriben.py

运行后，等待提示 “Procmon is running” 出现，此时手动执行目标恶意软件。完成分析后按 Ctrl+C 停止，Noriben 会自动生成报告。

2.自动执行模式（适合无需交互的样本）：

python Noriben.py --cmd "malware.exe" -t 60

这里 –cmd 指定要运行的程序，-t 60 表示采集 60 秒后自动停止。

生成的文件解析

Noriben分析完成后，会生成三个主要文件，它们从不同角度呈现恶意软件行为。

Noriben_.txt(可读性报告)

这是最直观的分析结果，包含恶意软件行为的汇总信息。文件结构清晰，主要分为以下几个部分：

• 基本信息：分析时间、Noriben 版本、系统信息
• 进程活动：恶意软件创建的进程及其命令行参数
• 文件操作：创建/修改/删除的文件列表，特别标记了可疑路径
• 注册表操作：对系统注册表的修改，重点显示自启动项和策略变更
• 网络活动：连接的远程主机（Unique Hosts）和域名
• YARA 匹配：如果启用了 YARA 扫描，会显示匹配的规则名称

使用场景：快速了解恶意软件的主要行为，识别关键IOC。

Noriben_.csv(结构化数据)

这是包含所有事件的详细 CSV 文件，可导入 Excel 或数据分析工具进行深入分析。每行代表一个系统事件，包含以下关键字段：

• 时间戳：事件发生的精确时间
• 进程名称：触发事件的进程
• 操作类型：如 “CreateFile”、”RegSetValue”、”TCP Connect” 等
• 路径/目标：文件路径、注册表项或网络地址
• 结果：操作是否成功

使用场景：通过筛选和排序，追踪特定行为的完整链条，如恶意软件如何持久化、如何与 C&C 服务器通信等。

Noriben_timeline.csv(时间线数据)

这个文件按时间顺序排列所有关键事件，特别适合分析恶意软件的执行流程。它将复杂的系统活动简化为清晰的时间线，帮助分析师理解恶意软件的攻击步骤。

使用场景：重建恶意软件的执行过程，识别各个阶段的行为特征，如初始感染、持久化、横向移动等。

报告中关键内容

进程创建

关注点：

✅ 父进程 → 子进程关系（攻击链）

✅ 奇怪的命令行参数（如 PowerShell 编码命令）

✅ 可疑进程名（如 svchost.exe 从非系统目录启动）

文件活动

关注点：

✅ MD5 哈希值（如果配置了 VirusTotal，会显示检出率）

✅ 可疑文件名（payload、evil、malware 等）

✅ 可疑目录（AppData\Local\Temp、Downloads 等）

注册表活动

关注的：

关注以下几个键值的变化：

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run：自启动项
• HKLM\SYSTEM\CurrentControlSet\Services：服务安装
• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies：系统策略变更

看“网络流量”

关注点：

✅ 外网 IP（非 192.168.x.x / 10.x.x.x）

✅ 非标准端口（非 80/443/53 等）

✅ 可疑域名（如果配置了 DNS 解析）

Unique Hosts

这部分列出了恶意软件连接的所有远程 IP 地址。例如：

这些 IP 可能是 C&C（命令与控制）服务器，通过 WHOIS 查询或威胁情报平台（如微步在线）检查这些地址，可以判断恶意软件的归属和攻击来源。

Noriben工具先解码后获得项目地址：

aHR0cHM6Ly9naXRodWIuY29tL1J1cmlrL05vcmliZW4=

期待与您一起探索更多的可能性！如果有任何问题或建议，随时欢迎与我交流。再次感谢您的关注！

感谢关注大仙安全说

添加好友注明来意

公众号丨大仙安全说

VX丨weiqin_6666

长按关注

《往期阅读》

使用 Sysmon 如何精准捕获“银狐”域名

使用 DNSQuerySniffer 揪出隐蔽钓鱼请求

整个网安圈子，谁还没用过Procmon

整个网安圈子，谁还没用过Autoruns

整个网安圈子，谁还没用过TCPView

整个网安圈子，谁还没用过PCHunter

 点一下阅读原文了解更多资讯

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大仙安全说 weiqin weiqin《零基础也能分析病毒！Noriben新手入门指南》