恶意软件分析

Awesome Malware Analysis Awesome

精选的出色恶意软件分析工具和资源列表. 受启发 awesome-pythonawesome-php.

Drop ICE

查看中文翻译: https://github.com/rshipp/awesome-malware-analysis/blob/master/恶意软件分析大合集.md.


Malware Collection

Anonymizers

分析人员的网络流量匿名器.

  • Anonymouse.org -一个基于网络的免费匿名器.
  • OpenVPN -VPN软件和托管解决方案.
  • Privoxy -具有某些功能的开源代理服务器 隐私功能.
  • Tor -洋葱路由器,用于浏览网页 不会留下客户端IP的痕迹.

Honeypots

捕获并收集自己的样本.

  • Conpot -ICS / SCADA蜜罐.
  • Cowrie -基于SSH的蜜罐 是Kippo.
  • DemoHunter -低交互性分布式蜜罐.
  • Dionaea -旨在捕获恶意软件的蜜罐.
  • Glastopf -Web应用程序蜜罐.
  • Honeyd -创建一个虚拟蜜网.
  • HoneyDrive -Honeypot捆绑Linux发行版.
  • Honeytrap -用于运行,监视和管理蜜罐的开源系统.
  • Mnemosyne -的标准化器 蜜罐数据; 支持Dionaea.
  • Thug -低互动的Honeyclient,用于 调查恶意网站.

Malware Corpora

收集了用于分析的恶意软件样本.

  • Clean MX - 即时 恶意软件和恶意域的数据库.
  • Contagio -最近的收藏 恶意软件样本和分析.
  • Exploit Database -漏洞利用和shellcode 样品.
  • Infosec - CERT-PA -恶意软件样本收集和分析.
  • InQuest Labs -越来越多的恶意Microsoft文档可搜索的语料库.
  • Javascript Mallware Collection -收集了将近40.000个javascript恶意软件样本
  • Malpedia -提供资源 用于恶意软件调查的快速识别和可行的环境.
  • Malshare -积极的大型恶意软件存储库 从恶意网站中删除.
  • Open Malware Project -样本信息和 downloads. Formerly Offensive Computing.
  • Ragpicker -基于插件的恶意软件 具有预分析和报告功能的爬虫
  • theZoo -的实时恶意软件样本 分析师.
  • Tracker h3x -恶意软件语料库跟踪器的聚合器 和恶意下载站点.
  • vduddu malware repo - 收集 各种恶意软件文件和源代码.
  • VirusBay -基于社区的恶意软件存储库和社交网络.
  • ViruSign -检测到的恶意软件数据库 除了ClamAV之外,还有许多反恶意软件程序.
  • VirusShare -恶意软件存储库,注册 需要.
  • VX Vault -主动收集恶意软件样本.
  • Zeltser's Sources - 一个列表 由Lenny Zeltser收集的恶意软件样本源.
  • Zeus Source Code -宙斯的来源 木马在2011年泄漏.

Open Source Threat Intelligence

Tools

收集和分析IOC.

  • AbuseHelper -开源 接收和重新分配滥用源和威胁情报的框架.
  • AlienVault Open Threat Exchange -分享和 合作开发威胁情报.
  • Combine -收集威胁的工具 来自公开来源的情报指标.
  • Fileintel -提取每个文件哈希的智能.
  • Hostintel -每个主机获取智能.
  • IntelMQ - 用于CERT的工具,用于使用消息队列处理事件数据.
  • IOC Editor - XML IOC文件的免费编辑器.
  • iocextract -高级指标 妥协(IOC)提取程序,Python库和命令行工具.
  • ioc_writer -用于的Python库 使用Mandiant的OpenIOC对象.
  • MalPipe -恶意软件/ IOC摄取和 处理引擎,可以丰富收集的数据.
  • Massive Octo Spice - 以前称为CIF(集体情报框架). 汇总IOC 从各种列表. 策划 CSIRT Gadgets Foundation.
  • MISP -恶意软件信息共享 平台策划人 The MISP Project.
  • Pulsedive -由社区驱动的免费威胁情报平台,可从开源源中收集IOC.
  • PyIOCe -Python OpenIOC编辑器.
  • RiskIQ -研究,连接,标记和 共享IP和域. (是PassiveTotal.)
  • threataggregator - 汇总来自多种来源的安全威胁,包括一些 那些在下面列出 other resources.
  • ThreatConnect -TC Open允许您查看和 在我们的免费社区的支持和验证下,共享开源威胁数据.
  • ThreatCrowd -威胁搜索引擎, 图形可视化.
  • ThreatIngestor -建立 从Twitter,RSS,GitHub和 更多.
  • ThreatTracker -Python 脚本来监视和生成基于一组索引的IOC的警报 Google自定义搜索引擎.
  • TIQ-test -数据可视化 和威胁情报源的统计分析.

Other Resources

威胁情报和IOC资源.

Detection and Classification

防病毒和其他恶意软件识别工具

  • AnalyzePE -包装 用于报告Windows PE文件的各种工具.
  • Assemblyline -可扩展 分布式文件分析框架.
  • BinaryAlert -开源,无服务器 AWS管道可基于一组以下内容扫描上传的文件并发出警报 YARA规则.
  • chkrootkit -本地Linux rootkit检测.
  • ClamAV -开源防病毒引擎.
  • Detect It Easy(DiE) -一个程序 确定文件类型.
  • Exeinfo PE -封隔器,压缩机检测器,开箱 信息,内部exe工具.
  • ExifTool -读,写和 编辑文件元数据.
  • File Scanning Framework - 模块化,递归文件扫描解决方案.
  • Generic File Parser -单个库解析器,用于提取元信息,静态分析并检测文件中的宏.
  • hashdeep -计算摘要哈希 各种算法.
  • HashCheck -Windows Shell扩展 使用各种算法来计算哈希.
  • Loki -基于主机的IOC扫描器.
  • Malfunction -目录和 在功能级别比较恶意软件.
  • Manalyze -PE静态分析仪 executables.
  • MASTIFF -静态分析 框架.
  • MultiScanner -模块化文件 扫描/分析框架
  • Nauz File Detector(NFD) -Windows,Linux和MacOS的链接器/编译器/工具检测器.
  • nsrllookup -寻找的工具 NIST国家软件参考库数据库中的哈希值.
  • packerid -跨平台 Python alternative to PEiD.
  • PE-bear -PE换向工具 文件.
  • PEV -与PE一起使用的多平台工具包 文件,为正确分析可疑二进制文件提供了功能丰富的工具.
  • PortEx -用于分析PE文件的Java库,重点关注恶意软件分析和PE格式错误的鲁棒性.
  • Quark-Engine -忽视混淆的Android恶意软件评分系统
  • Rootkit Hunter -检测Linux rootkit.
  • ssdeep -计算模糊哈希.
  • totalhash.py - Python脚本,可轻松搜索 TotalHash.cymru.com 数据库.
  • TrID -文件识别.
  • virustotal-falsepositive-detector -一种基于检测命名相似性分析病毒总数报告以发现潜在误报的工具.
  • YARA -模式匹配工具 分析师.
  • Yara rules generator -产生 yara规则基于一组恶意软件样本. 还包含一个好 字符串DB以避免误报.
  • Yara Finder -一个简单的yara工具,可将文件与各种yara规则进行匹配,以找到可疑的指标.

Online Scanners and Sandboxes

基于Web的多AV扫描仪以及用于自动分析的恶意软件沙箱.

  • anlyz.io -在线沙箱.
  • any.run -在线互动沙箱.
  • AndroTotal -APK的免费在线分析 针对多个移动防病毒应用程序.
  • AVCaesar -Malware.lu在线扫描仪和 恶意软件存储库.
  • BoomBox -自动布谷鸟 使用Packer和Vagrant的沙盒恶意软件实验室.
  • Cryptam -分析可疑的办公室文件.
  • Cuckoo Sandbox -开源,自托管 沙箱和自动分析系统.
  • cuckoo-modified -修改 GPL下发布的Cuckoo Sandbox版本. 由于以下原因未合并到上游 作者的法律关注.
  • cuckoo-modified-api - 一种 用于控制布谷鸟修改的沙箱的Python API.
  • DeepViz -具有多种格式的文件分析器 机器学习分类.
  • detux -开发的沙箱 Linux恶意软件的流量分析并捕获IOC.
  • DRAKVUF -动态恶意软件分析 系统.
  • firmware.re -解压,扫描和分析几乎任何东西 固件包.
  • HaboMalHunter -自动化恶意软件 Linux ELF文件分析工具.
  • Hybrid Analysis -在线恶意软件 分析工具,由VxSandbox提供支持.
  • Intezer -通过以下方式检测,分析和分类恶意软件 识别代码重用和代码相似性.
  • IRMA -异步且可自定义 可疑文件分析平台.
  • Joe Sandbox -使用Joe Sandbox进行深入的恶意软件分析.
  • Jotti -免费的在线多AV扫描仪.
  • Limon -用于分析Linux恶意软件的沙箱.
  • Malheur -自动沙盒分析 恶意软件行为.
  • malice.io -大规模可扩展的恶意软件分析框架.
  • malsub -的Python RESTful API框架 在线恶意软件和URL分析服务.
  • Malware config -提取,解码和在线显示 常见恶意软件的配置设置.
  • MalwareAnalyser.io -基于在线恶意软件异常的静态分析器,具有由数据挖掘和机器学习提供支持的启发式检测引擎.
  • Malwr -使用在线的Cuckoo沙箱进行免费分析 实例.
  • MetaDefender Cloud -扫描文件,哈希,IP,URL或 免费提供恶意软件的域名.
  • NetworkTotal -分析服务 pcap文件,有助于快速检测病毒,蠕虫,特洛伊木马和所有 使用配置有EmergingThreats Pro的Suricata的各种恶意软件.
  • Noriben -使用Sysinternals Procmon来 收集有关沙盒环境中恶意软件的信息.
  • PacketTotal -PacketTotal是一个在线引擎,用于分析.pcap文件并可视化其中的网络流量.
  • PDF Examiner -分析可疑的PDF文件.
  • ProcDot -图形化恶意软件分析工具套件.
  • Recomposer -帮手 安全地将二进制文件上传到沙箱站点的脚本.
  • sandboxapi -用于的Python库 与多个开源和商业恶意软件沙箱建立集成.
  • SEE -沙盒执行环境(SEE) 是在安全环境中构建测试自动化的框架.
  • SEKOIA Dropper Analysis -在线滴管分析(Js,VBScript,Microsoft Office,PDF).
  • VirusTotal -免费在线分析恶意软件 样本和URL
  • Visualize_Logs -开源 用于日志的可视化库和命令行工具. (杜鹃,普罗克蒙等) 来...)
  • Zeltser's List - 自由 自动化的沙箱和服务,由Lenny Zeltser编译.

Domain Analysis

检查域和IP地址.

  • AbuseIPDB -AbuseIPDB是一个专门的项目 帮助打击黑客,垃圾邮件发送者和互联网上的滥用行为的传播.
  • badips.com -基于社区的IP黑名单服务.
  • boomerang -设计的工具 用于一致安全地捕获网络外的Web资源.
  • Cymon -威胁情报跟踪器,具有IP /域/哈希 搜索.
  • Desenmascara.me -一键检索工具 网站应使用尽可能多的元数据并评估其良好信誉.
  • Dig -免费的在线挖掘和其他 网络工具.
  • dnstwist -域名排列 用于检测打字错误,网络钓鱼和企业间谍活动的引擎.
  • IPinfo - 收集信息 通过搜索在线资源了解IP或域.
  • Machinae -OSINT工具 收集有关URL,IP或哈希的信息. 类似于Automator.
  • mailchecker -跨语言 临时电子邮件检测库.
  • MaltegoVT -Maltego转换 用于VirusTotal API. 允许域/ IP研究,并搜索文件 哈希和扫描报告.
  • Multi rbl -多个DNS黑名单并转发 已确认对300多个RBL进行反向DNS查找.
  • NormShield Services -免费的API服务 用于检测可能的网络钓鱼域,列入黑名单的IP地址和被破坏的网络 帐户.
  • PhishStats -搜索的网络钓鱼统计 IP,域名和网站标题
  • SecurityTrails -历史和当前的WHOIS, 历史和当前DNS记录,相似域,证书信息 以及其他与域和IP相关的API和工具.
  • SpamCop -基于IP的垃圾邮件阻止列表.
  • SpamHaus -阻止列表基于 域和IP.
  • Sucuri SiteCheck -免费网站恶意软件 和安全扫描仪.
  • Talos Intelligence -搜索IP,域名 或网络所有者. (以前是SenderBase.)
  • TekDefense Automater -OSINT工具 用于收集有关URL,IP或哈希的信息.
  • URLhaus -一个来自滥用目标的项目 共享用于恶意软件分发的恶意URL.
  • URLQuery -免费的URL扫描器.
  • urlscan.io -免费的URL扫描器和域信息.
  • Whois -DomainTools免费在线Whois 搜索.
  • Zeltser's List - 自由 由Lenny Zeltser编译的用于研究恶意网站的在线工具.
  • ZScalar Zulu -Zulu URL风险分析器.

Browser Malware

分析恶意网址. 另请参阅 domain analysisdocuments and shellcode 部分.

  • Firebug -用于网络开发的Firefox扩展.
  • Java Decompiler -反编译并检查Java应用程序.
  • Java IDX Parser -解析Java IDX缓存文件.
  • JSDetox -JavaScript 恶意软件分析工具.
  • jsunpack-n -JavaScript 模拟浏览器功能的解压缩程序.
  • Krakatau -Java反编译器, 汇编程序和反汇编程序.
  • Malzilla -分析恶意网页.
  • RABCDAsm -“健壮 ActionScript字节码反汇编程序.”
  • SWF Investigator - SWF应用程序的静态和动态分析.
  • swftools -使用Adobe Flash的工具 文件.
  • xxxswf - 一种 用于分析Flash文件的Python脚本.

Documents and Shellcode

从PDF和Office文档分析恶意JS和shellcode. 也可以看看 the browser malware 部分.

  • AnalyzePDF -用于 分析PDF并尝试确定它们是否是恶意的.
  • box-js -学习JavaScript的工具 恶意软件,具有JScript / WScript支持和ActiveX仿真.
  • diStorm -用于分析的反汇编程序 恶意的shellcode.
  • InQuest Deep File Inspection -上传常见的恶意软件诱饵,以进行深度文件检查和启发式分析.
  • JS Beautifier -JavaScript解压缩和模糊处理.
  • JS Deobfuscator - 对使用eval或document.write隐藏的简单Javascript进行模糊处理 它的代码.
  • libemu -用于x86 shellcode的库和工具 仿真.
  • malpdfobj -解构恶意PDF 转换成JSON表示形式.
  • OfficeMalScanner -扫描 MS Office文档中的恶意痕迹.
  • olevba -用于解析OLE的脚本 和OpenXML文档,并提取有用的信息.
  • Origami PDF -用于 分析恶意PDF等.
  • PDF Tools -pdfid, pdf分析器,以及Didier Stevens的更多内容.
  • PDF X-Ray Lite -PDF分析工具, PDF X-RAY的无后端版本.
  • peepdf -Python 用于浏览可能是恶意PDF的工具.
  • QuickSand -QuickSand是一个紧凑的C框架 分析可疑的恶意软件文档,以识别不同来源的漏洞 编码以及查找和提取嵌入式可执行文件.
  • Spidermonkey - Mozilla的JavaScript引擎,用于调试恶意JS.

File Carving

用于从磁盘和内存映像中提取文件.

  • bulk_extractor -快速文件 雕刻工具.
  • EVTXtract -雕刻窗户 来自原始二进制数据的事件日志文件.
  • Foremost -文件雕刻工具设计 由美国空军.
  • hachoir3 -Hachoir是一个Python库 逐字段查看和编辑二进制流.
  • Scalpel -另一个数据雕刻 工具.
  • SFlock -嵌套档案 提取/解包(在Cuckoo Sandbox中使用).

Deobfuscation

反向XOR和其他代码混淆方法.

  • Balbuzard -恶意软件 反向混淆(XOR,ROL等)等分析工具.
  • de4dot -.NET去混淆器和 开箱.
  • ex_pe_xor & iheartxor - Alexander Hanel的两个工具,用于处理单字节XOR编码 文件.
  • FLOSS -FireEye Labs混淆了 字符串求解器使用高级静态分析技术来自动 从恶意软件二进制文件中消除字符串混淆.
  • NoMoreXOR -猜一个256字节 XOR键使用频率分析.
  • PackerAttacker -通用 Windows恶意软件的隐藏代码提取器.
  • un{i}packer -自动和 基于模拟的Windows二进制文件的与平台无关的拆包器.
  • unpacker -自动化的恶意软件 用于基于WinAppDbg的Windows恶意软件的解压缩程序.
  • unxor -猜测使用的XOR键 明文攻击.
  • VirtualDeobfuscator - 用于虚拟化包装程序的逆向工程工具.
  • XORBruteForcer - 用于强行强制单字节XOR键的Python脚本.
  • XORSearch & XORStrings - Didier Stevens的几个程序用于查找XORed数据.
  • xortool -猜测XOR键的长度,为 以及密钥本身.

Debugging and Reverse Engineering

反汇编程序,调试器以及其他静态和动态分析工具.

  • angr -与平台无关的二进制分析 UCSB的Seclab开发的框架.
  • bamfdetect -识别并提取 机器人和其他恶意软件提供的信息.
  • BAP -多平台和 由CMU的Cylab开发的开放源(MIT)二进制分析框架.
  • BARF - Multiplatform, open 来源二元分析和逆向工程框架.
  • binnavi -二进制分析IDE 基于图形可视化的逆向工程.
  • Binary ninja -可逆工程平台 这是IDA的替代方案.
  • Binwalk -固件分析工具.
  • Capstone -的拆卸框架 二进制分析和可逆,支持许多架构和 几种语言的绑定.
  • codebro -使用基于Web的代码浏览器 clang提供基本的代码分析.
  • Cutter -Radare2的GUI.
  • DECAF (Dynamic Executable Code Analysis Framework) -基于QEMU的二进制分析平台. DroidScope现在是DECAF的扩展.
  • dnSpy -.NET程序集编辑器,反编译器 和调试器.
  • dotPeek -免费的.NET Decompiler和 Assembly Browser.
  • Evan's Debugger (EDB) - 一种 带有Qt GUI的模块化调试器.
  • Fibratus -探索工具 和跟踪Windows内核.
  • FPort -报告 在实时系统中打开TCP / IP和UDP端口,并将它们映射到拥有的应用程序.
  • GDB -GNU调试器.
  • GEF -GDB增强功能,面向开发者 和反向工程师.
  • Ghidra -由国家安全局研究局创建和维护的软件逆向工程(SRE)框架.
  • hackers-grep -一个实用程序 在PE可执行文件中搜索字符串,包括导入,导出和调试 符号.
  • Hopper -macOS和Linux反汇编程序.
  • IDA Pro -Windows 反汇编器和调试器,带有免费评估版.
  • IDR -交互式Delphi重构器 是Delphi可执行文件和动态库的反编译器.
  • Immunity Debugger -的调试器 使用Python API进行恶意软件分析等.
  • ILSpy -ILSpy是开源.NET程序集浏览器和反编译器.
  • Kaitai Struct -DSL,用于文件格式/网络协议/ 数据结构逆向工程和分解,带有代码生成 for C++, C#, Java, JavaScript, Perl, PHP, Python, Ruby.
  • LIEF -LIEF提供了一个跨平台的库 来解析,修改和抽象ELF,PE和MachO格式.
  • ltrace -Linux可执行文件的动态分析.
  • mac-a-mal -自动化框架 用于Mac恶意软件狩猎.
  • objdump -GNU binutils的一部分, 用于Linux二进制文件的静态分析.
  • OllyDbg -Windows的程序集级调试器 可执行文件.
  • PANDA -中立架构平台 动态分析.
  • PEDA -Python漏洞利用开发 GDB协助,带有更多命令的增强显示.
  • pestudio -对Windows执行静态分析 可执行文件.
  • Pharos -Pharos二进制分析框架 可用于执行二进制文件的自动静态分析.
  • plasma -互动 x86 / ARM / MIPS的反汇编程序.
  • PPEE (puppy) -专业的PE文件浏览器 反向器,恶意软件研究人员以及想要静态检查PE的人员 文件的详细信息.
  • Process Explorer - Windows的高级任务管理器.
  • Process Hacker -监控工具 系统资源.
  • Process Monitor - Windows程序的高级监视工具.
  • PSTools -Windows 有助于管理和调查实时系统的命令行工具.
  • Pyew -恶意软件的Python工具 分析.
  • PyREBox -Python可编写脚本的反向 思科Talos团队的工程沙盒.
  • QKD -带有嵌入式WinDbg的QEMU 服务器进行隐身调试.
  • Radare2 -逆向工程框架 调试器支持.
  • RegShot -注册表比较实用程序 比较快照.
  • RetDec -可重定向的机器代码反编译器,带有 online decompilation serviceAPI that you can use in your tools.
  • ROPMEMU -分析,剖析的框架 并反编译复杂的代码重用攻击.
  • SMRT -Sublime恶意软件研究工具, Sublime 3插件可帮助进行恶意软件分析.
  • strace -动态分析 Linux可执行文件.
  • StringSifter -机器学习工具 会根据字符串的相关性自动对字符串进行排名,以进行恶意软件分析.
  • Triton -动态二进制分析(DBA)框架.
  • Udis86 -反汇编程序库和工具 适用于x86和x86_64.
  • Vivisect -用于的Python工具 恶意软件分析.
  • WinDbg -用于Microsoft Windows计算机操作系统的多功能调试器,用于调试用户模式应用程序,设备驱动程序和内核模式内存转储.
  • X64dbg -Windows的开源x64 / x32调试器.

Network

分析网络互动.

  • Bro -协议分析仪以惊人的速度运行 规模; 文件和网络协议.
  • BroYara -使用Bro的Yara规则.
  • CapTipper -恶意HTTP流量 资源管理器.
  • chopshop -协议分析和 解码框架.
  • CloudShark -基于网络的数据包分析工具 和恶意软件流量检测.
  • FakeNet-NG - 下一代 动态网络分析工具.
  • Fiddler -拦截式Web代理设计 用于“ Web调试”.
  • Hale -僵尸网络C&C监控器.
  • Haka -面向开源安全性 用于描述协议并在(实时)应用安全策略的语言 捕获的流量.
  • HTTPReplay -用于解析的库 并使用TLS主密钥读取PCAP文件,包括TLS流 (在Cuckoo沙箱中使用).
  • INetSim -网络服务仿真,在以下情况下很有用 建立恶意软件实验室.
  • Laika BOSS -Laika BOSS以文件为中心 恶意软件分析和入侵检测系统.
  • Malcolm -马尔科姆(Malcolm)强大而轻松 可部署的网络流量分析工具套件,用于完整的数据包捕获工件 (PCAP文件)和Zeek日志.
  • Malcom -恶意软件通讯 分析仪.
  • Maltrail -恶意流量 检测系统,利用包含 恶意和/或一般可疑的路径,并具有报告功能 和分析界面.
  • mitmproxy -即时拦截网络流量.
  • Moloch -IPv4流量捕获,索引 和数据库系统.
  • NetworkMiner -网络 取证分析工具,具有免费版本.
  • ngrep -搜索网络流量 像grep.
  • PcapViz -网络拓扑和 交通可视化工具.
  • Python ICAP Yara -一个 具有yara扫描器的URL或内容的ICAP服务器.
  • Squidmagic -squidmagic是一种工具 设计用于分析基于Web的网络流量以检测中央命令 使用Squid代理服务器来控制和控制(C&C)服务器和恶意站点 Spamhaus.
  • Tcpdump -收集网络流量.
  • tcpick -追踪并重新组合TCP流 来自网络流量.
  • tcpxtract -从网络中提取文件 交通.
  • Wireshark -网络流量分析 工具.

Memory Forensics

*用于剖析内存映像或运行系统中的恶意软件的工具.

  • BlackLight -Windows / MacOS 支持hiberfil,页面文件,原始内存分析的取证客户端.
  • DAMM -差异分析 内存中的恶意软件(基于波动性).
  • evolve -Web界面 易失性内存取证框架.
  • FindAES -查找AES 内存中的加密密钥.
  • inVtero.net -高速记忆 .NET中开发的分析框架支持所有Windows x64,包括 代码完整性和写支持.
  • Muninn -自动执行部分脚本 使用波动率进行分析,并创建可读的报告.
  • Rekall -内存分析框架, 在2013年从Volatility分叉.
  • TotalRecall -基于脚本 Volatility可自动执行各种恶意软件分析任务.
  • VolDiff -内存波动 恶意软件执行前后的图像,并报告更改.
  • Volatility -进阶 内存取证框架.
  • VolUtility -Web界面 易失性内存分析框架.
  • WDBGARK - WinDBG Anti-RootKit扩展.
  • WinDbg - Windows系统的实时内存检查和内核调试.

Windows Artifacts

  • AChoir -现场事件响应 用于收集Windows工件的脚本.
  • python-evt -Python 用于解析Windows事件日志的库.
  • python-registry -Python 用于解析注册表文件的库.
  • RegRipper (GitHub) - 基于插件的注册表分析工具.

Storage and Workflow

  • Aleph -开源恶意软件分析 管道系统.
  • CRITs -威胁协作研究, 恶意软件和威胁库.
  • FAME -恶意软件分析 具有可通过自定义模块扩展的管道的框架, 可以链接并彼此交互以执行端到端 分析.
  • Malwarehouse -存储,标记和 搜索恶意软件.
  • Polichombr -恶意软件分析 该平台旨在帮助分析人员协作逆转恶意软件. 具有广泛插件支持的框架,从输入到输出,以及所有内容 在两者之间.
  • Viper -的二进制管理和分析框架 分析人员和研究人员.

Miscellaneous

  • al-khaser -PoC恶意软件 旨在强调反恶意软件系统的良好意图.
  • CryptoKnight -自动密码算法逆向工程和分类框架.
  • DC3-MWCP - 国防网络犯罪中心的恶意软件配置解析器框架.
  • FLARE VM -完全可定制 基于Windows的安全性分发,可进行恶意软件分析.
  • MalSploitBase -数据库 包含恶意软件使用的漏洞利用程序.
  • Malware Museum - 收集 1980年代和1990年代分发的恶意软件程序.
  • Malware Organiser -一种将大型恶意/良性文件组织成有组织结构的简单工具.
  • Pafish -偏执狂鱼,一个示范 该工具采用多种技术来检测沙箱和进行分析 环境与恶意软件系列相同.
  • REMnux -Linux发行版和docker映像 恶意软件逆向工程和分析.
  • Santoku Linux -移动版Linux发行版 取证,恶意软件分析和安全性.

Resources

Books

必要的恶意软件分析阅读材料.

Other

Contributing

欢迎提出要求和提出建议的问题! 请阅读 CONTRIBUTING 提交PR之前的准则.

Thanks

该列表是通过以下方式实现的:

  • Lenny Zeltser和其他开发REMnux的贡献者 在此列表中找到了许多工具;
  • Michail Hale Ligh,Steven Adair,Blake Hartstein和Mather Richard 编写《恶意软件分析师的食谱》,这对 创建列表; *和其他发送请求请求或建议链接的人都添加到这里!

Thanks!