Skip to content

恶意软件分析

Awesome Malware Analysis Awesome

精选的恶意软件分析工具和资源列表. 灵感来自 awesome-pythonawesome-php.

Drop ICE

查看中文翻译: https://github.com/rshipp/awesome-malware-analysis/blob/master/恶意软件分析大合集.md.


Malware Collection

Anonymizers

分析师的网络流量匿名器.

  • Anonymouse.org - 一个免费的、基于网络的匿名器.
  • OpenVPN - VPN 软件和托管解决方案.
  • Privoxy - 一个开源的代理服务器,有一些 隐私功能.
  • Tor - 洋葱路由器,用于浏览网页 而不会留下客户端 IP 的痕迹.

Honeypots

陷阱并收集你自己的样本.

  • Conpot - ICS/SCADA 蜜罐.
  • Cowrie - SSH蜜罐,基于 是吉波.
  • DemoHunter - 低交互分布式蜜罐.
  • Dionaea - 旨在捕获恶意软件的蜜罐.
  • Glastopf - Web 应用程序蜜罐.
  • Honeyd - 创建一个虚拟蜜网.
  • HoneyDrive - 蜜罐捆绑 Linux 发行版.
  • Honeytrap - 用于运行、监控和管理蜜罐的开源系统.
  • MHN - MHN 是用于蜜罐管理和数据收集的集中式服务器. MHN 允许您快速部署传感器并立即收集数据,并可从简洁的 Web 界面查看.
  • Mnemosyne - 一个规范化 蜜罐数据; 支持捕鱼草.
  • Thug - 低交互 honeyclient,用于 调查恶意网站.

Malware Corpora

收集恶意软件样本进行分析.

  • Clean MX - 即时 恶意软件和恶意域的数据库.
  • Contagio - 近期合集 恶意软件样本和分析.
  • Exploit Database - 利用和 shellcode 样品.
  • Infosec - CERT-PA - 恶意软件样本收集和分析.
  • InQuest Labs - 不断增长的可搜索恶意 Microsoft 文档语料库.
  • Javascript Mallware Collection - 收集近 40.000 个 javascript 恶意软件样本
  • Malpedia - 资源提供 用于恶意软件调查的快速识别和可操作上下文.
  • Malshare - 活跃的大型恶意软件存储库 从恶意网站中删除.
  • Open Malware Project - 样品信息和 下载. 以前的进攻性计算.
  • Ragpicker - 基于插件的恶意软件 具有预分析和报告功能的爬虫
  • theZoo - 实时恶意软件样本 分析师.
  • Tracker h3x - 恶意软件语料库跟踪器的聚合器 和恶意下载站点.
  • vduddu malware repo - 收集 各种恶意软件文件和源代码.
  • VirusBay - 基于社区的恶意软件存储库和社交网络.
  • ViruSign - 检测到的恶意软件数据库 许多反恶意软件程序,但 ClamAV 除外.
  • VirusShare - 恶意软件库,注册 必需的.
  • VX Vault - 主动收集恶意软件样本.
  • Zeltser's Sources - 一个列表 由 Lenny Zeltser 整理的恶意软件样本源.
  • Zeus Source Code - 宙斯的来源 木马于 2011 年泄露.
  • VX Underground - 大量且不断增长的免费恶意软件样本集合.

Open Source Threat Intelligence

Tools

收获和分析 IOC.

  • AbuseHelper - 一个开源 接收和重新分发滥用信息和威胁情报的框架.
  • AlienVault Open Threat Exchange - 分享和 合作开发威胁情报.
  • Combine - 收集威胁的工具 来自公开来源的情报指标.
  • Fileintel - 提取每个文件哈希的情报.
  • Hostintel - 拉取每个主机的情报.
  • IntelMQ - CERT 的一种工具,用于使用消息队列处理事件数据.
  • IOC Editor - 一个免费的 XML IOC 文件编辑器.
  • iocextract - 高级指标 Compromise (IOC) 提取器、Python 库和命令行工具.
  • ioc_writer - Python库 使用来自 Mandiant 的 OpenIOC 对象.
  • MalPipe - 恶意软件/IOC 摄取和 处理引擎,丰富收集的数据.
  • Massive Octo Spice - 以前称为 CIF(集体智慧框架). 聚合 IOC 来自各种列表. 由 CSIRT Gadgets Foundation.
  • MISP - 恶意软件信息共享 平台策划人 The MISP Project.
  • Pulsedive - 免费的、社区驱动的威胁情报平台从开源提要中收集 IOC.
  • PyIOCe - Python OpenIOC 编辑器.
  • RiskIQ - 研究、连接、标记和 共享 IP 和域. (被动总计.)
  • threataggregator - 汇总来自多个来源的安全威胁,包括一些 下面列出的那些 other resources.
  • ThreatConnect - TC Open 允许您查看和 在我们免费社区的支持和验证下共享开源威胁数据.
  • ThreatCrowd - 威胁搜索引擎, 图形可视化.
  • ThreatIngestor - 建造 从 Twitter、RSS、GitHub 和 更多的.
  • ThreatTracker - 一条蟒蛇 用于根据一组索引的 IOC 监视和生成警报的脚本 谷歌自定义搜索引擎.
  • TIQ-test - 数据可视化 威胁情报源的统计分析.

Other Resources

威胁情报和 IOC 资源.

Detection and Classification

防病毒和其他恶意软件识别工具

  • AnalyzePE - 包装一个 用于报告 Windows PE 文件的各种工具.
  • Assemblyline - 可扩展 分布式文件分析框架.
  • BinaryAlert - 开源,无服务器 AWS 管道,它根据一组 儿童规则.
  • capa - 检测可执行文件中的功能.
  • chkrootkit - 本地 Linux rootkit 检测.
  • ClamAV - 开源防病毒引擎.
  • Detect It Easy(DiE) - 一个程序 确定文件的类型.
  • Exeinfo PE - 打包机,压缩机检测器,解包 信息,内部 exe 工具.
  • ExifTool - 读、写和 编辑文件元数据.
  • File Scanning Framework - 模块化递归文件扫描解决方案.
  • fn2yara - FN2Yara 是一个生成工具 用于匹配可执行程序中的函数(代码)的 Yara 签名.
  • Generic File Parser - 用于提取元信息、静态分析和检测文件中的宏的单一库解析器.
  • hashdeep - 计算摘要哈希值 多种算法.
  • HashCheck - Windows 外壳扩展 使用各种算法计算哈希值.
  • Loki - 用于 IOC 的基于主机的扫描仪.
  • Malfunction - 目录和 在功能级别比较恶意软件.
  • Manalyze - PE静态分析仪 executables.
  • MASTIFF - 静态分析 框架.
  • MultiScanner - 模块化文件 扫描/分析框架
  • Nauz File Detector(NFD) - 适用于 Windows、Linux 和 MacOS 的链接器/编译器/工具检测器.
  • nsrllookup - 一个寻找的工具 在 NIST 的国家软件参考库数据库中更新哈希值.
  • packerid - 跨平台 PEiD 的 Python 替代品.
  • PE-bear - PE倒车工具 文件.
  • PEframe - PEframe 是一种开源工具,用于对可移植可执行恶意软件和恶意 MS Office 文档执行静态分析.
  • PEV - 用于 PE 的多平台工具包 文件,提供功能丰富的工具来正确分析可疑的二进制文件.
  • PortEx - 用于分析 PE 文件的 Java 库,特别关注恶意软件分析和 PE 畸形鲁棒性.
  • Quark-Engine - 一个混淆 - 忽视 Android 恶意软件评分系统
  • Rootkit Hunter - 检测 Linux rootkit.
  • ssdeep - 计算模糊散列.
  • totalhash.py - 用于轻松搜索的 Python 脚本 TotalHash.cymru.com 数据库.
  • TrID - 文件标识符.
  • YARA - 模式匹配工具 分析师.
  • Yara rules generator - 产生 yara 规则基于一组恶意软件样本. 还包含一个不错 字符串数据库以避免误报.
  • Yara Finder - 一个简单的工具,用于根据各种 yara 规则对文件进行 yara 匹配,以查找可疑指标.

Online Scanners and Sandboxes

基于 Web 的多 AV 扫描器和用于自动分析的恶意软件沙箱.

  • anlyz.io - 在线沙箱.
  • any.run - 在线互动沙箱.
  • AndroTotal - 免费在线分析 APK 针对多个移动防病毒应用程序.
  • AVCaesar - Malware.lu 在线扫描仪和 恶意软件存储库.
  • BoomBox - 布谷鸟的自动部署 使用 Packer 和 Vagrant 的沙盒恶意软件实验室.
  • Cryptam - 分析可疑的办公文件.
  • Cuckoo Sandbox - 开源,自托管 沙箱和自动分析系统.
  • cuckoo-modified - 修改 在 GPL 下发布的 Cuckoo Sandbox 版本. 未合并上游由于 作者的法律问题.
  • cuckoo-modified-api - A 用于控制布谷鸟修改沙箱的 Python API.
  • DeepViz - 多格式文件分析器 机器学习分类.
  • detux - 开发的沙箱 Linux 恶意软件的流量分析和捕获 IOC.
  • DRAKVUF - 动态恶意软件分析 系统.
  • firmware.re - 解包、扫描和分析几乎所有 固件包.
  • HaboMalHunter - 一个自动化的恶意软件 Linux ELF 文件分析工具.
  • Hybrid Analysis - 在线恶意软件 分析工具,由 VxSandbox 提供支持.
  • Intezer - 检测、分析和分类恶意软件 识别代码重用和代码相似性.
  • IRMA - 一个异步和可定制 可疑文件分析平台.
  • Joe Sandbox - 使用 Joe Sandbox 进行深度恶意软件分析.
  • Jotti - 免费在线多 AV 扫描仪.
  • Limon - 用于分析 Linux 恶意软件的沙箱.
  • Malheur - 自动沙盒分析 的恶意软件行为.
  • malice.io - 大规模可扩展的恶意软件分析框架.
  • malsub - 一个 Python RESTful API 框架 在线恶意软件和 URL 分析服务.
  • Malware config - 在线提取、解码和显示 来自常见恶意软件的配置设置.
  • MalwareAnalyser.io - 基于异常的在线恶意软件静态分析器,具有由数据挖掘和机器学习提供支持的启发式检测引擎.
  • Malwr - 使用在线布谷鸟沙盒进行免费分析 实例.
  • MetaDefender Cloud - 扫描文件、散列、IP、URL 或 免费的恶意软件域名地址.
  • NetworkTotal - 分析服务 pcap 文件并有助于快速检测病毒、蠕虫、木马和所有 使用配置了 EmergingThreats Pro 的 Suricata 的各种恶意软件.
  • Noriben - 使用 Sysinternals Procmon 来 在沙盒环境中收集有关恶意软件的信息.
  • PacketTotal - PacketTotal 是一个在线引擎,用于分析 .pcap 文件并可视化其中的网络流量.
  • PDF Examiner - 分析可疑的 PDF 文件.
  • ProcDot - 图形恶意软件分析工具包.
  • Recomposer - 帮手 用于安全地将二进制文件上传到沙盒站点的脚本.
  • sandboxapi - Python库 构建与多个开源和商业恶意软件沙箱的集成.
  • SEE - 沙盒执行环境 (SEE) 是在安全环境中构建测试自动化的框架.
  • SEKOIA Dropper Analysis - 在线滴管分析(Js、VBScript、Microsoft Office、PDF).
  • VirusTotal - 免费在线分析恶意软件 示例和 URL
  • Visualize_Logs - 开源 用于日志的可视化库和命令行工具. (杜鹃,Procmon,更多 来...)
  • Zeltser's List - 自由 自动化沙箱和服务,由 Lenny Zeltser 编译.

Domain Analysis

检查域和 IP 地址.

  • AbuseIPDB - AbuseIPDB 是一个专门的项目 帮助打击互联网上黑客、垃圾邮件发送者和滥用活动的传播.
  • badips.com - 基于社区的 IP 黑名单服务.
  • boomerang - 设计的工具 用于一致和安全地捕获离线网络资源.
  • Cymon - 威胁情报跟踪器,带 IP/域/哈希 搜索.
  • Desenmascara.me - 一键式工具检索为 网站的尽可能多的元数据并评估其良好信誉.
  • Dig - 免费在线挖掘等 网络工具.
  • dnstwist - 域名置换 用于检测拼写错误、网络钓鱼和企业间谍活动的引擎.
  • IPinfo - 收集信息 通过搜索在线资源了解 IP 或域.
  • Machinae - OSINT 工具 收集有关 URL、IP 或哈希的信息. 类似于自动机.
  • mailchecker - 跨语言 临时电子邮件检测库.
  • MaltegoVT - Maltego 变换 对于 VirusTotal API. 允许域/IP 研究和搜索文件 哈希和扫描报告.
  • Multi rbl - Multiple DNS blacklist and forward 确认对 300 多个 RBL 进行了反向 DNS 查找.
  • NormShield Services - 免费API服务 用于检测可能的网络钓鱼域、列入黑名单的 IP 地址和被破坏 帐户.
  • PhishStats - 网络钓鱼统计与搜索 IP、域名和网站名称
  • Spyse - 子域、whois、相关域、DNS、主机 AS、SSL/TLS 信息,
  • SecurityTrails - 历史和当前的 WHOIS, 历史和当前 DNS 记录、相似域、证书信息 以及其他域和 IP 相关的 API 和工具.
  • SpamCop - 基于 IP 的垃圾邮件阻止列表.
  • SpamHaus - 阻止列表基于 域和 IP.
  • Sucuri SiteCheck - 免费网站恶意软件 和安全扫描仪.
  • Talos Intelligence - 搜索IP、域名 或网络所有者. (以前是 SenderBase.)
  • TekDefense Automater -开源情报工具 用于收集有关 URL、IP 或哈希的信息.
  • URLhaus - 来自 abuse.ch 的一个项目,其目标是 共享用于恶意软件分发的恶意 URL.
  • URLQuery - 免费网址扫描器.
  • urlscan.io - 免费 URL 扫描器和域信息.
  • Whois - DomainTools 免费在线 whois 搜索.
  • Zeltser's List - 自由 用于研究恶意网站的在线工具,由 Lenny Zeltser 编写.
  • ZScalar Zulu - Zulu URL 风险分析器.

Browser Malware

分析恶意网址. 另见 domain analysisdocuments and shellcode 部分.

  • Bytecode Viewer - 联合收割机 多个 Java 字节码查看器和反编译器集成到一个工具中,包括 APK/DEX 支持.
  • Firebug - 用于 Web 开发的 Firefox 扩展.
  • Java Decompiler - 反编译和检查 Java 应用程序.
  • Java IDX Parser - 解析Java IDX 缓存文件.
  • JSDetox - JavaScript 恶意软件分析工具.
  • jsunpack-n - 一个javascript 模拟浏览器功能的解包器.
  • Krakatau - Java反编译器, 汇编程序和反汇编程序.
  • Malzilla - 分析恶意网页.
  • RABCDAsm - “稳健 ActionScript 字节码反汇编程序.”
  • SWF Investigator - SWF 应用程序的静态和动态分析.
  • swftools - 使用 Adob​​e Flash 的工具 文件.
  • xxxswf - A 用于分析 Flash 文件的 Python 脚本.

Documents and Shellcode

分析PDF和Office文档中的恶意JS和shellcode. 也可以看看 the browser malware 部分.

  • AnalyzePDF - 一个工具 分析 PDF 并试图确定它们是否是恶意的.
  • box-js - 学习JavaScript的工具 恶意软件,具有 JScript/WScript 支持和 ActiveX 仿真.
  • diStorm - 用于分析的反汇编程序 恶意shellcode.
  • InQuest Deep File Inspection - 上传常见的恶意软件诱饵进行深度文件检查和启发式分析.
  • JS Beautifier - JavaScript 解包和反混淆.
  • libemu - 用于 x86 shellcode 的库和工具 仿真.
  • malpdfobj - 解构恶意 PDF 转换为 JSON 表示形式.
  • OfficeMalScanner - 扫描 MS Office 文档中的恶意痕迹.
  • olevba - 用于解析 OLE 的脚本 和 OpenXML 文档并提取有用的信息.
  • Origami PDF - 一个工具 分析恶意 PDF 等.
  • PDF Tools -pdfid, pdf-parser,以及来自 Didier Stevens 的更多内容.
  • PDF X-Ray Lite - 一个PDF分析工具, PDF X-RAY 的无后端版本.
  • peepdf - Python 用于探索可能的恶意 PDF 的工具.
  • QuickSand - QuickSand 是一个紧凑的 C 框架 分析可疑的恶意软件文档以识别不同流中的漏洞 编码以及定位和提取嵌入式可执行文件.
  • Spidermonkey - Mozilla 的 JavaScript 引擎,用于调试恶意 JS.

File Carving

用于从磁盘和内存映像中提取文件.

  • bulk_extractor - 快速归档 雕刻工具.
  • EVTXtract - 雕刻窗户 来自原始二进制数据的事件日志文件.
  • Foremost - 文件雕刻工具设计 由美国空军.
  • hachoir3 - Hachoir 是一个 Python 库 逐字段查看和编辑二进制流.
  • Scalpel - 另一种数据雕刻 工具.
  • SFlock - 嵌套存档 提取/解包(用于 Cuckoo Sandbox).

Deobfuscation

反向异或等代码混淆方式

  • Balbuzard - 恶意软件 用于逆向混淆(XOR、ROL 等)等的分析工具.
  • de4dot - .NET 去混淆器和 解包器.
  • ex_pe_xor & iheartxor - Alexander Hanel 的两个工具,用于处理单字节 XOR 编码 文件.
  • FLOSS - FireEye 实验室混淆 String Solver 使用先进的静态分析技术来自动 反混淆恶意软件二进制文件中的字符串.
  • NoMoreXOR - 猜一个256字节 XOR 密钥使用频率分析.
  • PackerAttacker - 一个通用 Windows 恶意软件的隐藏代码提取器.
  • PyInstaller Extractor - 用于提取 PyInstaller 生成的 Windows 内容的 Python 脚本 可执行文件. pyz 文件(通常是 pyc 文件)的内容存在 可执行文件内部也被提取并自动修复,以便 Python 字节码反编译器会识别它.
  • uncompyle6 - 一个交叉版本 Python 字节码反编译器. 将 Python 字节码翻译回等效 蟒蛇源代码.
  • un{i}packer - 自动和 基于仿真的 Windows 二进制文件的平台独立解包器.
  • unpacker - 自动化恶意软件 基于 WinAppDbg 的 Windows 恶意软件解包器.
  • unxor - 猜测异或键使用 已知明文攻击.
  • VirtualDeobfuscator - 用于虚拟化包装器的逆向工程工具.
  • XORBruteForcer - 用于暴力破解单字节 XOR 密钥的 Python 脚本.
  • XORSearch & XORStrings - 来自 Didier Stevens 的几个程序,用于查找异或数据.
  • xortool - 猜测 XOR 密钥长度,如 以及钥匙本身.

Debugging and Reverse Engineering

反汇编程序、调试器和其他静态和动态分析工具.

  • angr - 与平台无关的二进制分析 UCSB 的 Seclab 开发的框架.
  • bamfdetect - 识别和提取 来自机器人和其他恶意软件的信息.
  • BAP - 多平台和 CMU Cylab 开发的开源 (MIT) 二进制分析框架.
  • BARF - 多平台,开放 source 二进制分析和逆向工程框架.
  • binnavi - 二进制分析IDE 基于图形可视化的逆向工程.
  • Binary ninja - 逆向工程平台 这是 IDA 的替代品.
  • Binwalk - 固件分析工具.
  • BluePill - 用于执行和调试规避恶意软件和受保护的可执行文件的框架.
  • Capstone - 反汇编框架 二进制分析和逆向,支持多种架构和 多种语言的绑定.
  • codebro - 使用基于 Web 的代码浏览器 clang 提供基本的代码分析.
  • Cutter - GUI for Radare2.
  • DECAF (Dynamic Executable Code Analysis Framework)
  • 基于QEMU的二进制分析平台. DroidScope 现在是 DECAF 的扩展.
  • dnSpy - .NET 程序集编辑器、反编译器 和调试器.
  • dotPeek - 免费的 .NET 反编译器和 程序集浏览器.
  • Evan's Debugger (EDB) - A 带有 Qt GUI 的模块化调试器.
  • Fibratus - 探索工具 和 Windows 内核的跟踪.
  • FPort - 报告 在实时系统中打开 TCP/IP 和 UDP 端口并将它们映射到拥有的应用程序.
  • GDB - GNU 调试器.
  • GEF - GDB Enhanced Features, for exploiters 和逆向工程师.
  • Ghidra - 由国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架.
  • hackers-grep - 实用程序 在 PE 可执行文件中搜索字符串,包括导入、导出和调试 符号.
  • Hopper - macOS 和 Linux 反汇编程序.
  • IDA Pro - 窗户 反汇编器和调试器,带有免费评估版.
  • IDR - 交互式 Delphi 重构器 是 Delphi 可执行文件和动态库的反编译器.
  • Immunity Debugger - 调试器 恶意软件分析等,使用 Python API.
  • ILSpy - ILSpy 是开源 .NET 程序集浏览器和反编译器.
  • Kaitai Struct - 文件格式/网络协议的DSL / 数据结构逆向工程和剖析,代码生成 for C++, C#, Java, JavaScript, Perl, PHP, Python, Ruby.
  • LIEF - LIEF 提供了一个跨平台的库 解析、修改和抽象 ELF、PE 和 MachO 格式.
  • ltrace - Linux 可执行文件的动态分析.
  • mac-a-mal - 一个自动化的框架 用于 mac 恶意软件搜索.
  • objdump - GNU binutils 的一部分, 用于 Linux 二进制文件的静态分析.
  • OllyDbg - 适用于 Windows 的汇编级调试器 可执行文件.
  • OllyDumpEx - 转储内存 来自(解压的)恶意软件 Windows 处理并存储原始或重建 PE 文件. 这是 OllyDbg、Immunity Debugger、IDA Pro、WinDbg 和 x64dbg 的插件.
  • PANDA - 架构中立的平台 动态分析.
  • PEDA - Python漏洞利用开发 对 GDB 的帮助,一个带有添加命令的增强显示.
  • pestudio - 对 Windows 进行静态分析 可执行文件.
  • Pharos - Pharos 二进制分析框架 可用于执行二进制文件的自动静态分析.
  • plasma - 交互 x86/ARM/MIPS 的反汇编程序.
  • PPEE (puppy) - 专业的 PE 文件资源管理器 逆向器、恶意软件研究人员和那些想要静态检查 PE 的人 文件更详细.
  • Process Explorer - Windows 的高级任务管理器.
  • Process Hacker - 监控工具 系统资源.
  • Process Monitor - Windows 程序的高级监控工具.
  • PSTools - 窗户 帮助管理和调查实时系统的命令行工具.
  • Pyew - 针对恶意软件的 Python 工具 分析.
  • PyREBox - Python 脚本反向 思科 Talos 团队的工程沙箱.
  • QKD - 带有嵌入式 WinDbg 的 QEMU 用于隐身调试的服务器.
  • Radare2 - 逆向工程框架,与 调试器支持.
  • RegShot - 注册表比较实用程序 比较快照.
  • RetDec - 可重定目标的机器代码反编译器 online decompilation serviceAPI that you can use in your tools.
  • ROPMEMU - 一个分析、剖析的框架 反编译复杂的代码重用攻击.
  • Scylla Imports Reconstructor - 查找并修复 解压/转储的 PE32 恶意软件的 IAT.
  • ScyllaHide - 一个反反调试库 以及 OllyDbg、x64dbg、IDA Pro 和 TitanEngine 的插件.
  • SMRT - Sublime 恶意软件研究工具,一个 用于帮助恶意软件分析的 Sublime 3 插件.
  • strace - 动态分析 Linux 可执行文件.
  • StringSifter - 机器学习工具 自动根据字符串与恶意软件分析的相关性对字符串进行排名.
  • Triton - 动态二进制分析 (DBA) 框架.
  • Udis86 - 反汇编程序库和工具 对于 x86 和 x86_64.
  • Vivisect - Python 工具 恶意软件分析.
  • WinDbg - Microsoft Windows 计算机操作系统的多用途调试器,用于调试用户模式应用程序、设备驱动程序和内核模式内存转储.
  • X64dbg - 适用于 Windows 的开源 x64/x32 调试器.

Network

分析网络交互.

  • Bro - 以令人难以置信的速度运行的协议分析器 规模; 文件和网络协议.
  • BroYara - 使用 Bro. 的 Yara 规则.
  • CapTipper - 恶意 HTTP 流量 探险家.
  • chopshop - 协议分析和 解码框架.
  • CloudShark - 基于网络的数据包分析工具 和恶意软件流量检测.
  • FakeNet-NG - 下一代 动态网络分析工具.
  • Fiddler - 拦截网页代理设计 用于“网络调试”.
  • Hale - 僵尸网络 C&C 监视器.
  • Haka - 面向安全的开源 用于描述协议和应用安全策略的语言(实时) 捕获的流量.
  • HTTPReplay - 用于解析的库 并读出 PCAP 文件,包括使用 TLS Master Secrets 的 TLS 流 (用于 Cuckoo Sandbox).
  • INetSim - 网络服务模拟,有用的时候 建立一个恶意软件实验室.
  • Laika BOSS - 莱卡BOSS是以文件为中心 恶意软件分析和入侵检测系统.
  • Malcolm - 马尔科姆是一个强大的,轻松 可部署的网络流量分析工具套件,用于完整的数据包捕获工件 (PCAP 文件)和 Zeek 日志.
  • Malcom - 恶意软件通信 分析仪.
  • Maltrail - 恶意流量 检测系统,利用公开可用的(黑)名单包含 恶意和/或普遍可疑的踪迹并具有报告功能 和分析界面.
  • mitmproxy - 即时拦截网络流量.
  • Moloch - IPv4 流量捕获、索引 和数据库系统.
  • NetworkMiner - 网络 取证分析工具,有免费版.
  • ngrep - 通过网络流量搜索 平等的抓地力.
  • PcapViz - 网络拓扑和 交通可视化工具.
  • Python ICAP Yara - 一个 带有用于 URL 或内容的 yara 扫描器的 ICAP 服务器.
  • Squidmagic - squidmagic 是一个工具 旨在分析基于 Web 的网络流量以检测中央命令 和控制 (C&C) 服务器和恶意站点,使用 Squid 代理服务器和 垃圾邮件之家.
  • Tcpdump - 收集网络流量.
  • tcpick - Trach 和重组 TCP 流 来自网络流量.
  • tcpxtract - 从网络中提取文件 交通.
  • Wireshark - 网络流量分析 工具.

Memory Forensics

用于剖析内存映像或运行系统中的恶意软件的工具.

  • BlackLight - 视窗/MacOS 支持 hiberfil、页面文件、原始内存分析的取证客户端.
  • DAMM - 差异分析 内存中的恶意软件,建立在波动性之上.
  • evolve - 网页界面 波动性内存取证框架.
  • FindAES - 寻找 AES 内存中的加密密钥.
  • inVtero.net - 高速内存 .NET 开发的分析框架支持所有 Windows x64,包括 代码完整性和写入支持.
  • Muninn - 自动化部分的脚本 使用波动率进行分析,并创建可读的报告.
  • Rekall - 内存分析框架, 2013 年从 Volatility 分叉出来.
  • TotalRecall - 基于脚本 关于 Volatility,用于自动执行各种恶意软件分析任务.
  • VolDiff - 在内存上运行波动性 恶意软件执行前后的图像,并报告变化.
  • Volatility - 先进 内存取证框架.
  • VolUtility - 网页界面 波动性记忆分析框架.
  • WDBGARK - WinDBG 反 RootKit 扩展.
  • WinDbg - Windows 系统的实时内存检查和内核调试.

Windows Artifacts

  • AChoir - 现场事件响应 用于收集 Windows 工件的脚本.
  • python-evt - Python 用于解析 Windows 事件日志的库.
  • python-registry - Python 用于解析注册表文件的库.
  • RegRipper (GitHub) - 基于插件的注册表分析工具.

Storage and Workflow

  • Aleph - 开源恶意软件分析 管道系统.
  • CRITs - 对威胁的协作研究,a 恶意软件和威胁存储库.
  • FAME - 恶意软件分析 具有可以使用自定义模块扩展的管道的框架, 可以链接并相互交互以执行端到端 分析.
  • Malwarehouse - 存储、标记和 搜索恶意软件.
  • Polichombr - 恶意软件分析 旨在帮助分析师协同逆转恶意软件的平台. 具有广泛插件支持的框架,从输入到输出,以及一切 之间.
  • Viper - 二进制管理和分析框架 分析师和研究人员.

Miscellaneous

  • al-khaser - PoC 恶意软件 出于善意,旨在强调反恶意软件系统.
  • CryptoKnight - 自动密码算法逆向工程和分类框架.
  • DC3-MWCP - 国防网络犯罪中心的恶意软件配置解析器框架.
  • FLARE VM - 一个完全可定制的, 基于 Windows 的安全分发,用于恶意软件分析.
  • MalSploitBase - 一个数据库 包含恶意软件使用的漏洞.
  • Malware Museum - 收集 1980 年代和 90 年代分发的恶意软件程序.
  • Malware Organiser - 一个将大型恶意/良性文件组织成有组织的结构的简单工具.
  • Pafish - 偏执鱼,示范 采用多种技术检测沙箱和分析的工具 环境以与恶意软件家族相同的方式进行.
  • REMnux - Linux 发行版和 docker 镜像 恶意软件逆向工程和分析.
  • Tsurugi Linux - Linux 发行版旨在支持您的 DFIR 调查、恶意软件分析和 OSINT(开源情报)活动.
  • Santoku Linux - 适用于移动设备的 Linux 发行版 取证、恶意软件分析和安全.

Resources

Books

基本的恶意软件分析阅读材料.

Other

Contributing

欢迎提出请求和提出建议问题! 请阅读 CONTRIBUTING 提交 PR 之前的指南.

Thanks

此列表是通过以下方式实现的:

  • Lenny Zeltser and other contributors for developing REMnux, where I 在此列表中找到了许多工具;
  • Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 编写恶意软件分析师的食谱,这对 创建列表;
  • 以及所有已发送拉取请求或建议链接以添加到此处的其他人!

Thanks!