fucking awesome malware analysis

Eine kuratierte Liste der fantastischen Tools und Ressourcen für Malware -Analyse. Inspiriert von 228609 25039? Awesome-Python) und 31110 5080? Awesome-Php).

• Malware -Sammlung
  • Anonymizer
  • Honeypots
  • Malware Corpora
• Open -Source -Bedrohungsintelligenz
  • Werkzeuge
  • Andere Ressourcen
• Erkennung und Klassifizierung
• Online -Scanner und Sandboxen
• Domänenanalyse
• Browser -Malware
• Dokumente und Shellcode
• Dateischnitzen
• Deobfuskation
• Debugging und Reverse Engineering
• Netzwerk
• Speicher -Forensik
• Windows -Artefakte
• Speicher und Workflow
• Verschiedenes
• Ressourcen
  • Bücher
  • Andere
• Verwandte tolle Listen
• Beitragen
• Danke

Sehen Sie sich chinesische Übersetzung an: 恶意软件分析大合集 ​​.md.

Webverkehr Anonymizer für Analysten.

• Anonymouse.org - ein kostenloser webbasiertes Anonymizer.
• ? OpenVPN - VPN -Software und Hosting -Lösungen.
• Privoxy - Ein Open -Source -Proxy -Server mit einigen Datenschutzfunktionen.
• ? TOR - Der Zwiebelrouter, um das Web zu durchsuchen, ohne Spuren der Client -IP zu verlassen.

Fangen Sie und sammeln Sie Ihre eigenen Proben.

• 1261 417? Conpot) - ICS/SCADA Honeypot.
• 5271 903? Cowrie) - SSH Honeypot, basierend auf Kippo.
• 61 12? Demohunter) - Niedrige Wechselwirkung verteilte Honeypots.
• 718 184? Dionaea) - Honeypot zum Fangen von Malware.
• 565 168? Glastopf) - Webanwendung Honeypot.
• Honeyd - Erstellen Sie ein virtuelles Honignetz.
• ? Honeydrive - Honeypot -Bündel Linux -Distribution.
• 1230 174? HoneyTrap) - OpenSource -System zum Ausführen, Überwachung und Verwalten von Honeypots.
• 2440 631? MHN) - MHN ist ein zentraler Server für die Verwaltung und Datenerfassung von Honeypots. Mit MHN können Sie Sensoren schnell bereitstellen und sofort Daten sammeln und von einer ordentlichen Weboberfläche angezeigt werden.
• 46 39? Mnemosyne) - Ein Normalisierer für Honeypot -Daten; Unterstützt Dionaea.
• 998 203? Schläger) - Niedrige Interaktion Honeyclient, zur Untersuchung böswilliger Websites.

Malware -Proben zur Analyse gesammelt.

• Säubere MX - Echtzeitdatenbank für Malware und böswillige Domänen.
• CONTAGIO - Eine Sammlung neuer Malware -Muster und -analysen.
• ? Datenbank ausnutzen - Exploit- und ShellCode -Beispiele.
• ? INFOSEC - CERT -PA - Malware -Probensammlung und -analyse.
• ? Inquest Labs - ständig durchsuchbares Korpus böswilliger Microsoft -Dokumente.
• 686 238? JavaScript Mallware Collection) - Sammlung von fast 40.000 JavaScript -Malware -Muster
• ? Malpedia - Eine Ressource, die eine schnelle Identifizierung und einen umsetzbaren Kontext für Malware -Untersuchungen bietet.
• ? MALSHARE - Ein großes Repositor der Malware, die aktiv von böswilligen Websites abgeschafft ist.
• 94 25? Ragpicker) - Plugin -basiertes Malware -Crawler mit Voranalyse und Berichterstattung Funktionen
• 11438 2532? Thezoo) - Live -Malware -Beispiele für Analysten.
• Tracker H3X - Agregator für Malware Corpus Tracker und böswillige Download -Websites.
• ? ?? VDUDDU MALWARE Repo) - Sammlung verschiedener Malware -Dateien und Quellcode.
• ? Virusbay - Community -basierte Malware -Repository und soziales Netzwerk.
• ViruSign - Malware -Datenbank, die von vielen Anti -Malware -Programmen mit Ausnahme von Clamav erkannt wurde.
• ? Virusshare - Malware -Repository, Registrierung erforderlich.
• VX Vault - Aktive Sammlung von Malware -Proben.
• ? Zeltsers Quellen - Eine Liste von Malware -Beispielquellen, die von Lenny Zeltser zusammengestellt wurden.
• 1427 697? Zeus -Quellcode) - Quelle für den Zeus -Trojaner 2011 durchgesickert.
• VX Underground - Massive und wachsende Sammlung kostenloser Malware -Muster.

Ernten und analysieren IOCs.

• 122 18? MAPUSEHELPER) - Ein Open -Source -Rahmen für den Empfang und die Umverteilung von Missbrauchsfeeds und Bedrohung intel.
• ? AUTIENVAULT Open Threat Exchange - teilen und arbeiten bei der Entwicklung von Bedrohungsinformationen zusammen.
• 657 171? Kombinieren Sie) - Werkzeug zum Sammeln von Bedrohungsinformationen aus öffentlich verfügbaren Quellen.
• 119 25? FileIninTel) - Intelligenz pro Datei Hash.
• 265 51? Hostinin) - Ziehen Sie die Intelligenz pro Host.
• ? INTELMQ - Ein Tool für Zertifikate zur Verarbeitung von Vorfalldaten mithilfe einer Nachrichtenwarteschlange.
• ? IOC -Editor - Ein kostenloser Editor für XML -IOC -Dateien.
• 513 91? IOCExtract) - Erweiterter Indikator für Kompromisse (IOC), Python Library und Befehlszeilen -Tool.
• 201 61? IOC_Writer) - Python -Bibliothek für die Arbeit mit OpenIOC -Objekten von Mandiant.
• 104 24? Malpipe) - Malware/IOC -Aufnahme und Verarbeitungsmaschine, die gesammelte Daten anreichert.
• 228 60? Massive Octo Spice) - zuvor als CIF bekannt (Collective Intelligence Framework). Aggregiert IOCs aus verschiedenen Listen. Kuratiert von der CSIRT Gadgets Foundation.
• 5449 1416? MISP) - Malware Information Sharing Platform, die vom MISP -Projekt kuratiert wurde.
• ? Pulsierende-freie, gemeindenahe Bedrohungsintelligenzplattform, die IOCs aus Open-Source-Feeds sammelt.
• 18 7? Pyioce) - Ein Python Openioc Editor.
• ? Risikiq - Forschung, Verbinden, Tag und Teilen von IPS und Domains. (War passivetotal.)
• 80 27? ThreatAgGregator) - Aggregate Sicherheitsbedrohungen aus einer Reihe von Quellen, einschließlich einiger der unten aufgeführten in anderen Ressourcen.
• ? ThreatConnect - TC Open ermöglicht es Ihnen, Open -Source -Bedrohungsdaten mit Unterstützung und Validierung unserer kostenlosen Community zu sehen und zu teilen.
• ? Bedrohung - eine Suchmaschine für Bedrohungen mit grafischer Visualisierung.
• ? ?? Bedrohungstor) - Erstellen Sie automatisierte Bedrohungsintel -Pipelines Beschaffung von Twitter, RSS, GitHub und mehr.
• 66 13? Bedrohungstracker) - Ein Python -Skript zum Überwachen und Generieren von Warnungen basierend auf IOCs, die von einer Reihe von benutzerdefinierten Google -Suchmaschinen indiziert sind.
• 173 43? Tiq -Test) - Datenvisualisierung und statistische Analyse von Bedrohungsintelligenz -Feeds.

Bedrohungsintelligenz und IOC -Ressourcen.

• ? Autoshun? Liste) - Schnupfen Sie Plugin und Blockliste.
• Bambenk Consulting Feeds - OSINT -Feeds basierend auf böswilligen DGA -Algorithmen.
• ? Fidelis Barncat - Umfangreiche Malware -Konfigurationsdatenbank (muss Zugriff anfordern).
• CI Army (Liste) - Netzwerksicherheitsblocklisten.
• ? Critical Stack - Free Intel Market - kostenloser Intel -Aggregator mit einer Deduplizierung mit über 90 Feeds und über 1,2 m Indikatoren.
• Cybercrime Tracker - Mehrfach Botnet Active Tracker.
• 465 117? Fireeye -IOCs) - Indikatoren für Kompromisse, die von Fireeye öffentlich geteilt werden.
• ? Firehol IP -Listen - Analytics für 350 IP -Listen mit Schwerpunkt auf Angriffen, Malware und Missbrauch. Evolution, verändert die Geschichte, Landkarten, das Alter der IPS, die Aufbewahrungspolitik, überschneidet.
• ? Honeydb - Community -angetriebene Honeypot -Sensordatenerfassung und -Aggregation.
• 213 110? Hpfeeds) - Honeypot -Futterprotokoll.
• ? Infosec - cert -pa -Listen? IPS -? Domänen -? URLs) - Blocklist -Dienst.
• ? Inquest Repdb - kontinuierliche Aggregation von IOCs aus einer Vielzahl offener Reputationsquellen.
• ? Ermittlungs -IOCDB - Kontinuierliche Aggregation von IOCs aus verschiedenen Blogs, Github -Repos und Twitter.
• ? Internet Storm Center (DSHield) - Tagebuch und durchsuchbare Vorfalldatenbank mit einem Web? API. ( 29 13? Inoffizielle Python -Bibliothek)).
• MALC0DE - Datenbank für durchsuchbare Vorfälle.
• Malware -Domänenliste - Suchen und teilen böswillige URLs.
• ? MetadeFender Threat Intelligence -Feed - Liste der am häufigsten nachgeschlagenen Datei -Hashes von MetadeFender Cloud.
• ? OpenIOC - Framework zum Austausch von Bedrohungsintelligen.
• ? Proofpoint Bedrohung Intelligence - Regeln und mehr. (Früher aufkommende Drohungen.)
• ? Ransomware -Übersicht - eine Liste der Ransomware -Übersicht mit Details, Erkennung und Prävention.
• STIX - Strukturierte Bedrohungsinformationsausdruck - standardisierte Sprache zur Darstellung und Freigabe von Cyber ​​-Bedrohungsinformationen. Verwandte Bemühungen von? GEHRUNG:
  • CAPEC - Aufzählung und Klassifizierung der gemeinsamen Angriffsmuster
  • Cybox - Cyber ​​Observables Expression
  • MAEC - Malware -Attribut Aufzählung und Charakterisierung
  • Taxii - vertrauenswürdiger automatisierter Austausch von Indikatorinformationen
• ? SystemLookup - SystemLookup veranstaltet eine Sammlung von Listen, die Informationen zu den Komponenten legitimer und potenziell unerwünschter Programme liefern.
• ? Bedrohungsminer - Data Mining -Portal für Bedrohungsintelligenz mit Suche.
• ? Threatrecon - Suche nach Indikatoren, bis zu 1000 kostenlos pro Monat.
• ? ThreatShare - C2 Panel Tracker
• 4218 1008? Yara Regeln) - Yara Rules Repository.
• 1769 294? Yeti) - Yeti ist eine Plattform, um Observablen, Kompromisse, TTPs und Wissen über Bedrohungen in einem einzigen, einheitlichen Repository zu organisieren.
• ? Zeus Tracker - Zeus -Blocklisten.

Antiviren- und andere Malware -Identifikationstools

• 204 35? Analyzepe) - Wrapper für eine Vielzahl von Tools für die Berichterstattung unter Windows PE -Dateien.
• ? Assemblyline - Ein skalierbares Triage- und Malware -Analyse -System, das die besten Tools der Cyber ​​Security Community integriert.
• 1416 186? BinaryArt) - Eine open Souren -Serverless AWS -Pipeline, die auf hochgeladenen Dateien basierend auf einer Reihe von YARA -Regeln scannt und aufmerksam wird.
• 4973 567? CAPA) - Erkennt Funktionen in ausführbaren Dateien.
• Chkrootkit - Lokale Linux Rootkit -Erkennung.
• Clamav - Open Source -Antivirenmotor.
• 7842 738? Erkennen Sie es einfach (sterben) - Ein Programm zur Bestimmung von Dateien Arten.
• Exeinfo PE - Packer, Kompressordetektor, Auspacken Sie Informationen, interne Exe -Tools.
• ? Extiftool - Lesen, Schreiben und Bearbeiten von Dateimetadaten.
• 290 49? Datei -Scan -Framework) - Modulare, rekursive Datei -Scan -Lösung.
• 1573 192? fn2yara) - FN2YARA ist ein Werkzeug, um Yara -Signaturen für die Übereinstimmung von Funktionen (Code) in einem ausführbaren Programm zu generieren.
• 1 0? Generic File Parser) - Ein einzelner Bibliotheksparser zum Extrahieren von Meta -Informationen, statische Analyse und Erkennung von Makros in den Dateien.
• 718 132? Hashdeep) - Berechnen Sie Digest Hashes mit einer Vielzahl von Algorithmen.
• 1777 195? HashCheck) - Windows -Shell -Erweiterung, um Hashes mit einer Vielzahl von Algorithmen zu berechnen.
• 3429 585? Loki) - Hostbasierter Scanner für IOCs.
• 192 35? Fehlfunktion) - Katalog und vergleichen Sie Malware auf einer Funktionsebene.
• 1025 161? Manalyze) - Statischer Analysator für PE -Ausführbare.
• 176 40? Mastiff) - Statische Analyse -Framework.
• 618 125? Multiscanner) - Modulare Datei -Scan/Analyse -Framework
• 533 80? NAUZ -Dateidetektor (NFD)) - Linker/Compiler/Tool -Detektor für Windows, Linux und MacOS.
• 112 10? NSRLLLOOKUP) - Ein Tool zur Suche nach Hashes in der nationalen Software -Referenzbibliotheksdatenbank von NIST.
• 42 9? Packerid) - Eine plattformübergreifende Python -Alternative zu PEID.
• ? PE -BAR - Umkehrtool für PE -Dateien.
• 612 139? PEFRAME) - PEFRAME ist ein Open -Source -Tool zur Durchführung einer statischen Analyse zu tragbaren ausführbaren Malware und böswilligen MS -Office -Dokumenten.
• PEV - Ein Multiplattform -Toolkit zum Arbeiten mit PE -Dateien, die Funktionen für Funktionen für die ordnungsgemäße Analyse verdächtiger Binärdateien bereitstellen.
• 499 95? Portex) - Java -Bibliothek zur Analyse von PE -Dateien mit einem besonderen Schwerpunkt auf Malware -Analyse und Robustheit der PE -Missbildung.
• 1344 170? Quark-Engine)-Ein Verschleierungssystem für Android-Malware-Bewertungssysteme
• Rootkit Hunter - Linux Rootkits erkennen.
• ? SSDEEP - Fuzzy Hashes berechnen.
• ? TotalHash.py - Python -Skript für die einfache Suche nach dem? TotalHash.cymru.com Datenbank.
• Trid - Dateikennung.
• ? Yara - Muster -Matching -Tool für Analysten.
• 1577 282? Yara Rules Generator) - Generieren Sie YARA -Regeln basierend auf einer Reihe von Malware -Beispiele. Enthält auch eine gute DB, um falsch positive Ergebnisse zu vermeiden.
• 2 0? Yara Finder) - Ein einfaches Tool für Yara entspricht der Datei mit verschiedenen YARA -Regeln, um die Indikatoren für den Verdacht zu finden.

Webbasierte Multi-AV-Scanner und Malware-Sandboxen zur automatisierten Analyse.

• ? Anlyz.io - Online -Sandbox.
• ? Any.Run - Online Interactive Sandbox.
• ? Andrototal - Kostenlose Online -Analyse von APKs gegen mehrere mobile Antiviren -Apps.
• 237 38? Boombox) - Automatische Bereitstellung von Cuckoo Sandbox Malware Lab mit Packer und Vagrant.
• Cryptam - Analysieren Sie verdächtige Office -Dokumente.
• ? Cuckoo Sandbox - Open Source, Self Hosted Sandbox und Automated Analysis System.
• 271 100? Cuckoo -modifiziert) - Modifizierte Version von Cuckoo Sandbox, die unter der GPL veröffentlicht wurde. Aufgrund gesetzlicher Bedenken des Autors nicht stromaufwärts verschmolzen.
• 22 7? Cuckoo-modifiziert-api)-Eine Python-API, mit der ein Kuckuck-modifizierter Sandkasten gesteuert wird.
• ? Deepviz-Multi-Format-Dateianalysator mit maschineller Lernklassifizierung.
• ? ?? DETUX) - Eine Sandkasten, die zur Verkehrsanalyse von Linux -Malwares und Erfassen von IOCs entwickelt wurde.
• 1076 255? DRAKVUF) - Dynamisches Malware -Analyse -System.
• ? filescan.io - statische Malwareanalyse, VBA/PowerShell/VBS/JS Emulation
• firmware.re - packt, scannt und analysiert fast jedes Firmware -Paket.
• 734 220? Habomalhunter) - Ein automatisiertes Malware -Analyse -Tool für Linux -ELF -Dateien.
• ? Hybridanalyse - Online -Malware -Analyse -Tool, betrieben von VXSandBox.
• ? Intezer - Malware erkennen, analysieren und kategorisieren, indem sie die Wiederverwendung von Code und die Code -Ähnlichkeiten identifizieren.
• Irma - Eine asynchrone und anpassbare Analyseplattform für verdächtige Dateien.
• ? Joe Sandbox - Deep Malware -Analyse mit Joe Sandbox.
• ? Jotti - kostenloser Online -Multi -AV -Scanner.
• 390 115? Limon) - Sandbox zur Analyse von Linux -Malware.
• 369 101? Malheur) - Automatische Sandkäseanalyse des Malwareverhaltens.
• 1658 270? malice.io) - Massiv skalierbares Malware -Analyse -Framework.
• 368 80? MALSUB) - Ein Python -Restful -API -Framework für Online -Malware- und URL -Analysedienste.
• ? Malware -Konfiguration - extrahieren, dekodieren und online die Konfigurationseinstellungen aus allgemeinen Malwares extrahieren und anzeigen.
• ? MALWAREANALYSER.IO - Online -Anomalie -basierte statische Analysatorin mit heuristischer Erkennung, die durch Data Mining und maschinelles Lernen betrieben wird.
• ? MALWR - KOSTENLOSE Analyse mit einer Online -Cuckoo -Sandbox -Instanz.
• ? Metadefender Cloud - Scannen Sie eine Datei, Hash, IP, URL oder Domänenadresse für Malware kostenlos.
• ? NetworkTotal - Ein Dienst, der PCAP -Dateien analysiert und die schnelle Erkennung von Viren, Würmern, Trojanern und allen Arten von Malware unter Verwendung von Suricata erleichtert, die mit EmergingThreats Pro konfiguriert sind.
• 1133 222? NORIBEN) - verwendet Sysinternals Procmon, um Informationen über Malware in einer Sandbox -Umgebung zu sammeln.
• ? Packettotal - Packettotal ist eine Online -Engine für die Analyse von .pcap -Dateien und die Visualisierung des Netzwerkverkehrs innerhalb.
• PDF -Prüfer - Analysieren Sie verdächtige PDF -Dateien.
• Procdot - Ein grafisches Malware -Tool -Kit.
• 130 39? Neukomponisten) - Ein Helfer -Skript zum sicheren Hochladen von Binärdateien auf Sandbox -Websites.
• 138 40? SANDBOXAPI) - Python -Bibliothek zum Aufbau von Integrationen mit mehreren Open Source- und kommerziellen Malware -Sandboxen.
• 817 104? Siehe) - Sandboxed Execution Environment (siehe) ist ein Rahmen für die Erstellung von Testautomatisierung in gesicherten Umgebungen.
• ? Sekoia Dropper -Analyse - Online -Tropfenanalyse (JS, VBScript, Microsoft Office, PDF).
• ? Virustotal - kostenlose Online -Analyse von Malware -Proben und URLs
• 139 30? Visualisierung_logs) - Open Source Visualisierungsbibliothek und Befehlszeilen -Tools für Protokolle. (Kuckuck, Procmon, noch mehr ...)
• ? Zeltsers Liste - KOSTENLOSE automatisierte Sandkästen und Dienste, zusammengestellt von Lenny Zeltser.

Überprüfen Sie Domänen und IP -Adressen.

• ? Missseipdb - Missseipdb ist ein Projekt, das sich zur Bekämpfung der Verbreitung von Hackern, Spammer und missbräuchlichen Aktivitäten im Internet widmet.
• ? Badips.com - Community -basierte IP Blacklist -Dienst.
• 38 6? Boomerang) - Ein Tool, das für die konsistente und sichere Erfassung von Off -Netzwerk -Webressourcen entwickelt wurde.
• ? Cymon - Threat Intelligence Tracker mit IP/Domain/Hash -Suche.
• DESENMASCARA.ME - Ein Klick -Tool, um für eine Website so viel Metadaten wie möglich abzurufen und deren gute Stellung zu beurteilen.
• ? DIG - kostenlose Online -Dig- und andere Netzwerk -Tools.
• 4957 777? DNSTWIST) - Domainname Permutation Engine zum Erkennen von Tippfehler, Phishing und Unternehmensspionage.
• 100 24? IPINFO) - Informationen zu einer IP oder einer Domäne sammeln, indem Sie Online -Ressourcen durchsuchen.
• 505 101? Machinae) - OSINT -Tool zum Sammeln von Informationen über URLs, IPs oder Hashes. Ähnlich wie bei Automator.
• 1655 258? MailChecker) - Cross -Language Temporäre E -Mail -Erkennungsbibliothek.
• 80 22? MALTEGOVT) - MALTEGO -Transformation für die virustotale API. Ermöglicht die Domäne/IP -Forschung und die Suche nach Datei -Hashes und Scanberichten.
• Multi RBL - Mehrere DNS Blacklist und Forward bestätigte umgekehrte DNS -Suche über mehr als 300 RBLs.
• ? NormShield Services - Kostenlose API -Dienste zur Erkennung möglicher Phishing -Domänen, IP -Adressen auf schwarze Liste und Verletzungskonten.
• ? Phishstats - Phishing -Statistiken mit Suche nach IP-, Domain- und Website -Titel
• ? Spyse - Subdomains, WHOIs, realisierte Domänen, DNs, Hosts AS, SSL/TLS -Info,
• ? SecurityTrails - Historische und aktuelle WHOIs, historische und aktuelle DNS -Aufzeichnungen, ähnliche Domänen, Zertifikatsinformationen sowie andere Domänen- und IP -bezogene API und Tools.
• ? SPAMCOP - IP -basierte Spam -Blockliste.
• ? Spamhaus - Blockliste basierend auf Domänen und IPs.
• ? Sucuri Sitecheck - KOSTENLOSE Website Malware und Security Scanner.
• ? Talos Intelligence - Suche nach IP-, Domain- oder Netzwerkbesitzer. (Zuvor Absenderbase.)
• Tekdefense Automater - OSINT -Tool zum Sammeln von Informationen über URLs, IPs oder Hashes.
• ? URLHAUS - Ein Projekt aus Missbrauch.ch mit dem Ziel, böswillige URLs zu teilen, die für die Verteilung von Malware verwendet werden.
• URLQuery - Kostenloser URL -Scanner.
• ? URLSCAN.IO - Kostenlose Informationen zum kostenlosen URL -Scanner und Domänen.
• ? Whois - Domaintools kostenlose Online -Whois -Suche.
• ? Zeltsers Liste - Kostenlose Online -Tools zur Erforschung von böswilligen Websites, zusammengestellt von Lenny Zeltser.
• ? Zscalar Zulu - Zulu URL -Risikoanalysator.

Analysieren Sie bösartige URLs. Siehe auch die Domänenanalyse und Dokumente und Shellcode -Abschnitte.

• 14757 1155? Bytecode Viewer) - kombiniert mehrere Java -Bytecode -Zuschauer und Dekompiler zu einem Tool, einschließlich APK/DEX -Unterstützung.
• ? Firebug - Firefox -Erweiterung für die Webentwicklung.
• Java Decompiler - Dekompile und inspizieren Sie Java -Apps.
• ? ?? Java IDX Parser) - Parse Java IDX -Cache -Dateien.
• JSDETOX - JavaScript Malware -Analyse -Tool.
• 163 65? JSunpack -n) - Ein JavaScript -Expacker, der die Browserfunktionalität emuliert.
• 2006 223? Krakatau) - Java Decompiler, Assembler und Disassembler.
• Malzilla - Bösartige Webseiten analysieren.
• 432 92? RabcDasm) - Ein "robustes Bytecode -Disassembler von Actioncript".
• ? SWF -Forscher - Statische und dynamische Analyse von SWF -Anwendungen.
• SWFTOOLS - Tools für die Arbeit mit Adobe Flash -Dateien.
• XXXSWF - Ein Python -Skript zur Analyse von Flash -Dateien.

Analysieren Sie böswillige JS und Shellcode aus PDFs und Bürodokumenten. Siehe auch den Abschnitt "Browser Malware".

• 178 41? Analyzepdf) - Ein Werkzeug zur Analyse von PDFs und dem Versuch, festzustellen, ob sie böswillig sind.
• 623 86? Box -JS) - Ein Tool zum Untersuchung von JavaScript -Malware mit Jscript/Wscript -Unterstützung und ActiveX -Emulation.
• Distorm - Disassembler zur Analyse böswilliger Shellcode.
• ? Inspektion von Ermittlungen Deep Datei - Laden Sie gemeinsame Malware -Köder für die tiefe Dateiinspektion und heuristische Analyse hoch.
• JS -Verschönerer - JavaScript -Auspacken und Deobfuskation.
• Libemu - Bibliothek und Werkzeuge für die X86 -Shellcode -Emulation.
• 53 16? MALPDFOBJ) - Dekonstruieren Sie böswillige PDFs in eine JSON -Darstellung.
• OfficemalsCanner - Scannen Sie nach böswilligen Spuren in MS -Office -Dokumenten.
• Olevba - Ein Skript zum Parsen von OLE- und OpenXML -Dokumenten und zum Extrahieren nützlicher Informationen.
• ? Origami PDF - Ein Werkzeug zur Analyse bösartiger PDFs und mehr.
• ? PDF -Tools - PDFID, PDF -Parser und mehr von Didier Stevens.
• 35 9? PDF-Röntgen-Lite)-Ein PDF-Analyse-Tool, die backendfreie Version von PDF-Röntgenaufnahme.
• Peepdf - Python -Tool zur Erkundung möglicherweise böswilliger PDFs.
• ? TRCKSAND - TRCKSAND ist ein kompaktes C -Framework, mit dem vermutete Malware -Dokumente analysiert werden, um Exploits in Streams verschiedener Codierungen zu identifizieren und eingebettete ausführbare Ausführungen zu lokalisieren und zu extrahieren.
• ? Spidermonkey - Mozillas JavaScript -Engine für bösartige JS.

Zum Extrahieren von Dateien von Innen- und Speicherbildern.

• 1133 192? Bulk_extractor) - Schnelles File -Carving -Tool.
• 193 22? Evtxtract) - Windows -Ereignisprotokolldateien aus Rohbinärdaten.
• In erster Linie - Datei -Schnitzwerkzeug, das von der US -Luftwaffe entworfen wurde.
• 624 69? Hachoir3) - Hachoir ist eine Python -Bibliothek, um ein Binärstromfeld nach Feld anzuzeigen und zu bearbeiten.
• 629 100? Skalpell) - Ein weiteres Datenschnitzwerkzeug.
• 82 48? Sflock) - verschachtelte Archivextraktion/-packung (in Kuckucks Sandbox verwendet).

Umgekehrte XOR- und andere Code -Verschleierung Methoden.

• ? BALBUZARD - Ein Malware -Analyse -Tool zur Umkehrung der Verschleierung (XOR, ROL usw.) und mehr.
• 7008 2691? DE4DOT) - .NET DEOBFUSCator und Entpacker.
• EX_PE_XOR & IHEARTXOR - Zwei Tools von Alexander Hanel für die Arbeit mit Single -Byte XOR -codierten Dateien.
• 3352 456? FLOSS) - Der Verschleierte der Fireeye Labs verschleiert String Solver verwendet erweiterte statische Analysetechniken, um automatisch von Malware -Binärdateien zu deobfuscatieren.
• 86 18? Nomorexor) - Vermutlich ein 256 Byte XOR -Schlüssel unter Verwendung der Frequenzanalyse.
• 270 72? Packerattacker) - Ein generischer Hidden -Code -Extraktor für Windows Malware.
• 3055 626? Pyinstaller -Extraktor) - Ein Python -Skript zum Extrahieren des Inhalts einer pyinstaller generierten Windows -ausführbaren Datei. Der Inhalt der PYZ -Datei (normalerweise in der ausführbare Dateien vorhandene PYC -Dateien) wird ebenfalls extrahiert und automatisch behoben, sodass ein Python -Bytecode -Dekompiler sie erkennt.
• ? ?? Uncompyle6) - Ein Cross -Version -Python -Bytecode -Dekompiler. Übersetzt Python -Bytecode wieder in den äquivalenten Python -Quellcode.
• 670 83? UN {I} Packer) - Automatisch und plattformunabhängig für Windows -Binärdateien basierend auf Emulation.
• ? ?? Expacker) - automatisierter Malware -Expacker für Windows Malware basierend auf WinAppdbg.
• ? ?? Unxor) - Raten Sie XOR -Tasten mit bekannten Angriffen.
• 133 24? VirtualDeObfuscator) - Reverse Engineering Tool für Virtualisierungswrapper.
• XorbuteForcer - Ein Python -Skript für brutale, die Single -Byte -XOR -Schlüssel erzwingen.
• ? XORSEARCH & XORSTRINGS - Ein paar Programme von Didier Stevens zum Auffinden von Xored -Daten.
• 1406 173? Xortool) - Raten Sie die XOR -Schlüssellänge sowie der Schlüssel selbst.

Disassembler, Debugger und andere statische und dynamische Analysewerkzeuge.

• 7659 1088? ANGR) - Plattform -agnostische Binäranalyse -Framework, entwickelt am Seklab von UCSB.
• ? ?? BAMFDETECT) - Identifiziert und extrahiert Informationen von Bots und anderen Malware.
• 2081 273? BAP) - Multiplattform und Open Source (MIT) Binäranalyse -Framework, entwickelt am CMU -Zylaber.
• 1413 168? BARF) - Multiplattform, Binäranalyse von Open Source und Reverse Engineering Framework.
• 2878 453? Binnavi) - Binäranalyse IDE für Reverse Engineering basierend auf der Grafikvisualisierung.
• ? Binärer Ninja - Eine Umkehrungstechnik -Plattform, die eine Alternative zu IDA ist.
• 11665 1578? Binwalk) - Firmware -Analyse -Tool.
• 123 22? Bluepill) - Framework für die Ausführung und Debugie von Ausweichmalware und geschützten Ausführungsfähigkeiten.
• 7693 1562? Capstone) - Demontage -Rahmen für binäre Analyse und Umkehrung mit Unterstützung für viele Architekturen und Bindungen in mehreren Sprachen.
• 44 6? CODEBRO) - Webbasierter Codebrowser mit Clang, um grundlegende Codeanalyse bereitzustellen.
• ? ?? Cutter) - GUI für Radare2.
• 808 168? DECAF (Dynamic Executable Code Analysis Framework)) - Eine auf QEMU basierende Binäranalyse -Plattform. DroidScope ist jetzt eine Erweiterung des Decaf.
• 26848 5153? DNSPY) - .NET Assembly Editor, Decompiler und Debugger.
• ? Dotpeek - freie .NET Decompiler und Montagebrowser.
• Evans Debugger (EDB) - ein modularer Debugger mit einer QT -GUI.
• 2258 194? Fibratus) - Werkzeug zur Erforschung und Verfolgung des Windows -Kernels.
• ? FPORT - Berichte Open TCP/IP- und UDP -Ports in einem Live -System und ordnen sie der Besitzanwendung ab.
• GDB - Der GNU -Debugger.
• 7107 742? GEF) - GDB -Verbesserte Funktionen für Exploitern und Rückwärtsingenieure.
• 52649 5953? GHIDRA) - Ein Software Reverse Engineering (SRE) Framework, das von der Forschungsdirektion der National Security Agency erstellt und gepflegt wurde.
• 170 19? Hacker -Grep) - Ein Dienstprogramm zur Suche nach Saiten in PE -ausführbaren Säden, einschließlich Importe, Exporten und Debug -Symbolen.
• ? Hopper - The MacOS und Linux Disassembler.
• ? IDA Pro - Windows Disassembler und Debugger mit einer kostenlosen Bewertungsversion.
• 981 226? IDR) - Interaktiver Delphi -Rekonstruktor ist ein Dekompilier von Delphi ausführbaren Dateien und dynamischen Bibliotheken.
• Immunitätsdebugger - Debugger für Malware -Analyse und mehr mit einer Python -API.
• ILSPY - ILSPY ist der Open -Source .NET -Assembly -Browser und Dekompiler.
• Kaitai Struct - DSL für Dateiformate / Netzwerkprotokolle / Datenstrukturen Reverse Engineering und Dissektion mit Codegenerierung für C ++, C#, Java, JavaScript, Perl, Php, Python, Ruby.
• ? LIEF - LIEF bietet eine plattformübergreifende Bibliothek, um ELF-, PE- und Macho -Formate zu analysieren, zu modifizieren und zu abstrakten.
• LTRACE - Dynamische Analyse für Linux -ausführbare Produkte.
• 85 24? MAC-A-MAL)-Ein automatisiertes Framework für die MAC-Malwarejagd.
• ? Objdump - Teil von Gnu Binutils für die statische Analyse von Linux -Binärdateien.
• OLLYDBG - Ein Debugger auf Assemblerebene für Windows Executables.
• ? Ollydumpex - Speicher aus (ausgepackt) Malware -Windows -Verfahren und speichern Sie RAW- oder REBUILD PE -Datei. Dies ist ein Plugin für OllyDBG, Immunity -Debugger, IDA Pro, Windbg und X64DBG.
• 105 42? Panda) - Plattform für die architekturneutrale dynamische Analyse.
• 5915 809? PEDA) - Python Exploit Development Assistance für GDB, ein erweitertes Display mit zusätzlichen Befehlen.
• ? PESTUDIO - Führen Sie eine statische Analyse von Windows Executables durch.
• 1573 192? PHAROS) - Mit dem Pharos -Binäranalyse -Framework kann eine automatisierte statische Analyse von Binärdateien durchgeführt werden.
• 3049 276? Plasma) - Interaktiver Disassembler für X86/Arm/MIPS.
• ? PPEE (Puppy) - Ein professioneller PE -Datei -Explorer für Umkehrer, Malware -Forscher und diejenigen, die PE -Dateien statisch genauer inspizieren möchten.
• ? Process Explorer - Advanced Task Manager für Windows.
• Process Hacker - Tool, das die Systemressourcen überwacht.
• ? Prozessmonitor - Erweitertes Überwachungstool für Windows -Programme.
• ? Pstools - Windows -Befehlszeilen -Tools, mit denen Live -Systeme verwaltet und untersucht werden können.
• 386 95? Pyew) - Python -Tool zur Malwareanalyse.
• 1657 247? Pyrebox) - Python Scriptable Reverse Engineering Sandbox des Talos -Teams bei Cisco.
• ? Qiling Framework - Cross -Plattform -Emulation und Sanboxing -Framework mit Instrumenten für die binäre Analyse.
• ? ?? QKD) - QEMU mit einem eingebetteten Windbg -Server für Stealth -Debugging.
• Radare2 - Reverse Engineering Framework mit Debugger -Unterstützung.
• ? RegSthot - Registrierung vergleichen das Dienstprogramm, das Schnappschüsse vergleicht.
• ? RetDec - maschinellem Maschinencode -Dekompiler mit einem? Online -Dekompilierungsservice und? API, die Sie in Ihren Tools verwenden können.
• 285 42? ROPMEMU) - Ein Rahmen zum Analysieren, Analysieren und Dekompilieren komplexer Code -Rese -Angriffe.
• 1128 232? Scylla importiert Rekonstruktor) - Finden und beheben Sie die IAT einer ausgepackten / abgeladenen PE32 -Malware.
• 3526 441? Scyllahide)-Eine Anti-Anti-Debug-Bibliothek und Plugin für OllyDBG, X64DBG, IDA Pro und Titanengine.
• 66 15? SMRT) - Sublime Malware Research Tool, ein Plugin für Sublime 3, um die Malware -Analyis zu unterstützen.
• ? Strace - Dynamische Analyse für Linux -ausführbare Produkte.
• 688 125? STRINGSIFTER) - Ein Tool für maschinelles Lernen, das die Zeichenfolgen automatisch auf der Grundlage ihrer Relevanz für die Malware -Analyse bewertet.
• ? Triton - ein DBBA -Framework (Dynamic Binary Analysis).
• 1029 298? UDIS86) - Disassembler -Bibliothek und Tool für x86 und x86_64.
• 945 187? Vivisect) - Python -Tool zur Malwareanalyse.
• ? WINDBG - Mehrzweck -Debugger für das Microsoft Windows -Computerbetriebssystem, das zum Debuggen von Benutzermodusanwendungen, Gerätetreiber und den Kernel -Mode -Speicher -Dumps verwendet wird.
• ? ?? X64DBG) - Ein Open -Source X64/X32 -Debugger für Windows.

Analysieren Sie die Netzwerkinteraktionen.

• ? Bro - Protokollanalysator, der in unglaublichem Maßstab arbeitet; Sowohl Datei- als auch Netzwerkprotokolle.
• 33 5? Broyara) - Verwenden Sie die Yara -Regeln von Bro.
• 714 159? Captipper) - Bösartiger HTTP -Verkehrs -Explorer.
• 489 112? Chopshop) - Protokollanalyse und Decodierungsgerüst.
• ? CloudShark - Webbasierte Tool für Paketanalyse und Malware -Verkehrserkennung.
• 1830 364? Fakenet -ng) - Dynamisches Netzwerkanalyse -Tool der nächsten Generation.
• ? Fiddler - Abfangen von Web -Proxy für "Web -Debugging".
• 188 64? Hale) - Botnet C & C Monitor.
• HAKA - Eine Sicherheitssprache für Open Source -Orientierungen für die Beschreibung von Protokollen und die Anwendung von Sicherheitsrichtlinien auf (lebende) Daten erfassten den Verkehr.
• 95 35? Httpreplay) - Bibliothek zum Analyse und Lesen von PCAP -Dateien, einschließlich TLS -Streams mit TLS -Master -Geheimnissen (in Cuckoo Sandbox verwendet).
• INETIM - Network Service Emulation, nützlich beim Erstellen eines Malware -Labors.
• 743 156? Laika -Chef) - Laika -Chef ist ein Datei -zentriertes Malware -Analyse- und Intrusion -Erkennungssystem.
• 371 60? MALCOLM) - Malcolm ist eine leistungsstarke, einfach einsetzbare Netzwerkverkehrsanalyse -Tool -Suite für vollständige Artefakte (PCAP -Dateien) und Zeek -Protokolle.
• 1160 216? Malcom) - Malware Communications Analyzer.
• 6660 1105? MASTRAIL) - Ein böswilliges Verkehrserkennungssystem, das öffentlich verfügbare (schwarze) Listen mit böswilligen und/oder allgemein verdächtigen Pfaden verwendet und eine Berichts- und Analyseschnittstelle enthält.
• ? Mitmproxy - Intercept -Netzwerkverkehr im laufenden Fliegen.
• 6442 1045? Moloch) - IPv4 -Verkehrserfassungs-, Indexierungs- und Datenbanksystem.
• NetworkMiner - Network Forensic Analysis Tool mit einer kostenlosen Version.
• 909 102? NGREP) - Suchen Sie den Netzwerkverkehr wie Grep.
• 345 61? PCAPVIZ) - Netzwerktopologie und Traffic Visualizer.
• 58 13? Python ICAP YARA) - Ein ICAP -Server mit Yara -Scanner für URL oder Inhalt.
• 78 27? Squidmagic) - Squidmagic ist ein Tool, mit dem ein webbasiertes Netzwerkverkehr analysiert wurde, um den zentralen Befehl und die Steuerung (C & C) und böswillige Websites unter Verwendung von Squid Proxy Server und Spamhaus zu erkennen.
• TCPDUMP - Sammeln Sie den Netzwerkverkehr.
• TCPICK - TRACH UND TCP -Streams aus dem Netzwerkverkehr.
• tcpxtract - Extrahieren Sie Dateien aus dem Netzwerkverkehr.
• ? Wireshark - Das Tool für Netzwerkverkehrsanalyse.

Tools zum Zerlegen von Malware in Speicherbildern oder laufenden Systemen.

• ? Blacklight - Windows/MacOS -Forensik -Client unterstützt Hiberfile, Pagefile, RAW -Speicheranalyse.
• 211 48? DAMM) - Differentielle Analyse der Malware im Speicher, die auf Volatilität basiert.
• 260 42? Evolve) - Webschnittstelle für das Forensik -Framework der Volatilitätsspeicher.
• ? Findaes - Finden Sie AES -Verschlüsselungsschlüssel im Speicher.
• 281 57? Invtero.net) - In .NET entwickeltes Hochgeschwindigkeitsspeicheranalyse -Framework unterstützt alle Windows X64, umfasst Code -Integrität und Schreibunterstützung.
• 52 9? Muninn) - Ein Skript zur Automatisierung von Teilen der Analyse mithilfe der Volatilität und zum Erstellen eines lesbaren Berichts. 226 19? Orochi) - Orochi ist ein Open -Source -Framework für die kollaborative forensische Speicher -Dump -Analyse.
• Rekall - Speicheranalyse -Framework, aus der Volatilität im Jahr 2013 gegabelt.
• 49 9? TotalRecall) - Skript basierend auf der Volatilität zur Automatisierung verschiedener Malware -Analyseaufgaben.
• 194 50? VOLDIFF) - Führen Sie die Volatilität auf Speicherbildern vor und nach der Ausführung von Malware aus und melden Sie Änderungen.
• 7431 1294? Volatilität) - Forensik -Framework für erweiterte Speicher.
• 381 82? Volutilität) - Webschnittstelle für das Rahmen der Volatilitätsspeicheranalyse.
• 621 179? WDBGARK) - WINDBG Anti -Rootkit -Erweiterung.
• ? WINDBG - Live -Speicherinspektion und Kernel -Debugging für Windows -Systeme.

• 184 29? Achoir) - Ein Live -Skript für Vorfälle zum Sammeln von Windows -Artefakten.
• 49 11? Python -Evt) - Python -Bibliothek zum Parsen von Windows -Ereignisprotokollen.
• Python -Registry - Python -Bibliothek für Parsing -Registrierungsdateien.
• REGRIPPER ? ?? Github)) - Plugin -basierte Registrierungsanalyse -Tool.

• 158 53? ALEPH) - Open Source Malware -Analyse -Pipeline -System.
• ? CRITS - Kollaborative Erforschung von Bedrohungen, Malware und Bedrohungsrepository.
• ? FAME-Ein Malware-Analyse-Framework mit einer Pipeline, die mit benutzerdefinierten Modulen erweitert werden kann, die gekettet und miteinander interagieren können, um eine End-to-End-Analyse durchzuführen.
• 134 43? MALWAREHOUSE) - Malware speichern, taggen und suchen.
• 376 60? Polichombr) - Eine Malware -Analyse -Plattform, mit der Analysten bei der Umkehrung von Malwares zusammengearbeitet werden sollen.
• STOQ - Verteilter Inhaltsanalyse -Framework mit umfangreicher Plugin -Unterstützung, von der Eingabe bis zur Ausgabe und allem dazwischen.
• Viper - Ein Binärmanagement- und -analyse -Rahmen für Analysten und Forscher.

• 6002 1178? Al-Khaser)-Eine POC-Malware mit guten Absichten, die Anti-Malware-Systeme betonen.
• 39 12? Cryptoknight) - Automatisierter kryptografischer Algorithmus Reverse Engineering und Klassifizierungsrahmen.
• 306 59? DC3 -MWCP) - Das Malware -Konfiguration des Defense Cyber ​​Crime Center.
• 6727 931? FLARE VM) - Eine vollständig anpassbare, Windows -basierte Sicherheitsverteilung für die Malware -Analyse.
• 537 198? MALSPLOITBASE) - Eine Datenbank, die von Malware verwendete Exploits enthält.
• ? Malware Museum - Sammlung von Malware -Programmen, die in den 1980er und 1990er Jahren verteilt wurden.
• 1 0? Malware -Organizer) - Ein einfaches Tool, um große bösartige/gutartige Dateien in einer organisierten Struktur zu organisieren.
• 3464 467? Pafish) - Paranoid Fish, a demonstration tool that employs several techniques to detect sandboxes and analysis environments in the same way as malware families do.
• ? REMnux - Linux distribution and docker images for malware reverse engineering and analysis.
• ? Tsurugi Linux - Linux distribution designed to support your DFIR investigations, malware analysis and OSINT (Open Source INTelligence) activities.
• ? Santoku Linux - Linux distribution for mobile forensics, malware analysis, and security.

Essential malware analysis reading material.

• ? Learning Malware Analysis - Learning Malware Analysis: Explore the concepts, tools, and techniques to analuze and investigate Windows malware
• ? Malware Analyst's Cookbook and DVD - Tools and Techniques for Fighting Malicious Code.
• ? Mastering Malware Analysis - Mastering Malware Analysis: The complete malware analyst's guide to combating malicious software, APT, cybercime, and IoT attacks
• ? Mastering Reverse Engineering - Mastering Reverse Engineering: Re-engineer your ethical hacking skills
• ? Practical Malware Analysis - The Hands-On Guide to Dissecting Malicious Software.
• ? Practical Reverse Engineering - Intermediate Reverse Engineering.
• ? Real Digital Forensics - Computer Security and Incident Response.
• ? Rootkits and Bootkits - Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats
• ? The Art of Memory Forensics - Detecting Malware and Threats in Windows, Linux, and Mac Memory.
• ? The IDA Pro Book - The Unofficial Guide to the World's Most Popular Disassembler.
• ? The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• 1668 282? APT Notes) - A collection of papers and notes related to Advanced Persistent Threats.
• 964 282? Ember) - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• 10591 742? File Formats posters) - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• ? Malicious Software - Malware blog and resources by Lenny Zeltser.
• ? Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• ? Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• 165 15? Malware Persistence) - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• ? Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• ? Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• 3784 788? RPISEC Malware Analysis) - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• 332 73? Windows Registry specification) - Windows registry file format specification.
• ? /r/csirt_tools - Subreddit for CSIRT tools and resources, with a ? malware analysis flair.
• ? /r/Malware - The malware subreddit.
• ? /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• 8295 1455? Android Security)
• 6387 742? AppSec)
• 9945 1497? CTFs)
• 1233 107? Executable Packing)
• 4039 632? Forensics)
• 13362 1556? "Hacking")
• 8757 1267? Honeypots)
• 1658 438? Industrial Control System Security)
• 7751 1537? Incident-Response)
• 5229 739? Infosec)
• 3149 466? PCAP Tools)
• 22166 4493? Pentesting)
• 12586 1938? Sicherheit)
• 8246 1499? Threat Intelligence)
• 3608 495? YARA)

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Danke!

12101 2585? rshipp/awesome-malware-analysis)