fucking awesome malware analysis

Una lista curada de impresionantes herramientas y recursos de análisis de malware. Inspirado por 228609 25039? Awesome-Python) y 31110 5080? impresionante-php).

• Colección de malware
  • Anónimos
  • Honeypots
  • Corporativos de malware
• Inteligencia de amenazas de código abierto
  • Herramientas
  • Otros recursos
• Detección y clasificación
• Escáneres y cajas de arena en línea
• Análisis de dominio
• Malware del navegador
• Documentos y shellcode
• Talla de archivos
• Desobfuscación
• Ingeniería de depuración e inversa
• Red
• Forense de memoria
• Artefactos de Windows
• Almacenamiento y flujo de trabajo
• Misceláneas
• Recursos
  • Libros
  • Otro
• Listas impresionantes relacionadas
• Que contribuye
• Gracias

Ver traducción al chino: 恶意软件分析大合集 ​​.md.

Anonimizadores de tráfico web para analistas.

• Anonymouse.org: un anonimizador gratuito basado en la web.
• ? OpenVPN - Software VPN y soluciones de alojamiento.
• Privoxy: un servidor proxy de código abierto con algunas características de privacidad.
• ? Tor: el enrutador de cebolla, para navegar por la web sin dejar rastros de la IP del cliente.

Trampa y recoge tus propias muestras.

• 1261 417? Conpot) - ICS/Scada Honeypot.
• 5271 903? Cowrie) - SSH Honeypot, basado en Kippo.
• 61 12? Demohunter) - Honeypots distribuidos de baja interacción.
• 718 184? Dionaea) - Honeypot diseñado para atrapar malware.
• 565 168? GLASTOPF) - Aplicación web Honeypot.
• Honeyd: crea una Honeynet virtual.
• ? Honeydrive - Honeypot Bundle Linux Distro.
• 1230 174? HoneyTrap) - Sistema OpenSource para ejecutar, monitorear y administrar honeypots.
• 2440 631? MHN) - MHN es un servidor centralizado para la administración y la recopilación de datos de honeypots. MHN le permite implementar sensores rápidamente y recopilar datos de inmediato, visible desde una interfaz web ordenada.
• 46 39? Mnemosyne): un normalizador para datos de honeypot; Apoya a Dionaea.
• 998 203? Matón) - Honeyclient de baja interacción, para investigar sitios web maliciosos.

Muestras de malware recolectadas para análisis.

• Clean MX - Base de datos en tiempo real de malware y dominios maliciosos.
• Contagio: una colección de muestras y análisis de malware recientes.
• ? Explotación de la base de datos: muestras de exploit y shellcode.
• ? Infosec - Cert -PA - Colección y análisis de muestras de malware.
• ? Laboratorios de investigación: Corpus de búsqueda en constante certificación de documentos maliciosos de Microsoft.
• 686 238? Colección de malos de JavaScript) - Colección de casi 40,000 muestras de malware JavaScript
• ? Malpedia: un recurso que proporciona una identificación rápida y un contexto procesable para las investigaciones de malware.
• ? Malshare - Gran depósito de malware desechado activamente de sitios maliciosos.
• 94 25? Ragpicker) - Rastador de malware basado en complementos con preanálisis y funcionalidades de informes
• 11438 2532? thEZOO) - Muestras de malware en vivo para analistas.
• Tracker H3X - Agregador para Malware Corpus Tracker y sitios de descarga maliciosa.
• ? ?? VDUDDU Repo de malware) - Colección de varios archivos de malware y código fuente.
• ? Virusbay - Repositorio de malware y red social basada en la comunidad.
• Virusign - Base de datos de malware que detectó muchos programas anti -malware excepto clamav.
• ? Virusshare - Repositorio de malware, requerido registro.
• VX Vault - Colección activa de muestras de malware.
• ? Fuentes de Zeltser: una lista de fuentes de muestra de malware reunidas por Lenny Zeltser.
• 1427 697? Código fuente de ZEUS) - Fuente para el troyano Zeus filtrado en 2011.
• VX Underground: colección masiva y creciente de muestras de malware gratuitas.

Cosecha y analice los COI.

• 122 18? Abusohelper): un marco de código abierto para recibir y redistribuir los alimentos de abuso y la amenaza Intel.
• ? AlienVault Open Amenazing Exchange: compartir y colaborar en el desarrollo de la inteligencia de amenazas.
• 657 171? Combinar) - Herramienta para recopilar indicadores de inteligencia de amenazas de fuentes disponibles públicamente.
• 119 25? FileIntel) - Tire de inteligencia por archivo hash.
• 265 51? HostIntel) - Tire de inteligencia por host.
• ? IntelMQ: una herramienta para certificaciones para procesar datos de incidentes utilizando una cola de mensajes.
• ? Editor del IOC: un editor gratuito para archivos IOC XML.
• 513 91? IOCEXTRATION) - Indicador avanzado del extractor de compromiso (COI), la biblioteca de Python y la herramienta de línea de comandos.
• 201 61? IOC_Writer) - Biblioteca Python para trabajar con objetos OpenIOC, de Mandiant.
• 104 24? Malpipe) - Motor de ingestión y procesamiento de malware/COI, que enriquece los datos recopilados.
• 228 60? Spice Octo masivo): anteriormente conocido como CIF (marco de inteligencia colectiva). Agregue los COI de varias listas. Comisariada por la Fundación CSIRT Gadgets.
• 5449 1416? MISP) - Plataforma de intercambio de información de malware curada por el proyecto MISP.
• ? PULSEDIVE: plataforma de inteligencia de amenazas gratuita, impulsada por la comunidad, recolectando COI a partir de alimentos de código abierto.
• 18 7? Pyioce) - Un editor de Python Openioc.
• ? RiskIQ - Investigación, conexión, etiqueta y comparte IPS y dominios. (Era pasivetotal).
• 80 27? amenazaggregator): agregue las amenazas de seguridad de varias fuentes, incluidas algunas de las que se enumeran a continuación en otros recursos.
• ? Amenazconnect: TC Open le permite ver y compartir datos de amenazas de código abierto, con soporte y validación de nuestra comunidad gratuita.
• ? AmenazeCrowd: un motor de búsqueda para amenazas, con visualización gráfica.
• ? ?? AmenazingSestor): construya el abastecimiento de tuberías Intel de amenaza automatizada desde Twitter, RSS, GitHub y más.
• 66 13? Amenaztracker): un script de Python para monitorear y generar alertas basadas en los COI indexados por un conjunto de motores de búsqueda personalizados de Google.
• 173 43? TIQ -TEST) - Visualización de datos y análisis estadístico de alimentos de inteligencia de amenazas.

Inteligencia de amenazas y recursos del COI.

• ? AUTOSHUN? Lista) - complemento Snort y Blocklist.
• Bambenek Consulting Feeds - Osint Feeds basados ​​en algoritmos DGA maliciosos.
• ? Fidelis Barncat: una amplia base de datos de configuración de malware (debe solicitar acceso).
• CI Ejército (Lista) - Listas de bloques de seguridad de red.
• ? Pila crítica: mercado de Intel gratuito: agregador Intel gratuito con deduplicación con más de 90 alimentos y más de 1,2 millones de indicadores.
• Tracker de cibercrimen: rastreador activo de múltiples botnet.
• 465 117? FireEye IOCS) - Indicadores de compromiso compartido públicamente por FireEye.
• ? Listas de IP de Firehol: análisis para más de 350 listas de IP con un enfoque en ataques, malware y abuso. Evolución, cambios de historia, mapas de países, edad de IPS enumerados, política de retención, superposiciones.
• ? HoneyDB - Recopilación y agregación de datos del sensor Honeypot impulsado por la comunidad.
• 213 110? HPFeeds) - Protocolo de alimentación de honeypot.
• ? Infosec - ¿Listas de Cert -PA? IPS -? Dominios -? URLS) - Servicio de lista de bloques.
• ? Investigación REPDB - Agregación continua de COI de una variedad de fuentes de reputación abierta.
• ? Investigación IOCDB - Agregación continua de COI de una variedad de blogs, repositorios de GitHub y Twitter.
• ? Centro de tormenta de Internet (DSHIELD) - Base de datos de incidentes diarios y de búsqueda, con una web? API. ( 29 13? Biblioteca Python no oficial)).
• MALC0DE - Base de datos de incidentes de búsqueda.
• Lista de dominio de malware: busque y comparte URL maliciosas.
• ? Metadefender Amenazing Intelligence Feed: lista de los hashes de archivo más buscados de MetadeFender Cloud.
• ? OpenIOC - Marco para compartir la inteligencia de amenazas.
• ? Inteligencia de amenazas de prueba de punto: conjuntos de reglas y más. (Anteriormente amenazas emergentes).
• ? Descripción general del ransomware: una lista de descripción general de ransomware con detalles, detección y prevención.
• STIX - Expresión de información de amenaza estructurada: lenguaje estandarizado para representar y compartir información de amenazas cibernéticas. Esfuerzos relacionados de? INGLETE:
  • CAPEC - Enumeración y clasificación del patrón de ataque común
  • Cybox - expresión de ciber observables
  • MAEC - Enumeración y caracterización de atributos de malware
  • Taxii: intercambio automatizado de información indicadora
• ? SystemlookUp: Systemlookup aloja una colección de listas que proporcionan información sobre los componentes de los programas legítimos y potencialmente no deseados.
• ? Amenazas - portal de minería de datos para inteligencia de amenazas, con búsqueda.
• ? Threatrecon: busque indicadores, hasta 1000 gratis por mes.
• ? Amenazshare - rastreador del panel C2
• 4218 1008? Reglas de Yara) - Repositorio de reglas de Yara.
• 1769 294? Yeti) - Yeti es una plataforma destinada a organizar observables, indicadores de compromiso, TTP y conocimiento sobre amenazas en un solo repositorio unificado.
• ? Zeus Tracker - Zeus Blocklists.

Antivirus y otras herramientas de identificación de malware

• 204 35? Analyzepe): envoltura para una variedad de herramientas para informar sobre los archivos de Windows PE.
• ? EnsambleyLine: un sistema de análisis de triaje y malware escalable que integra las mejores herramientas de la comunidad de seguridad cibernética.
• 1416 186? BinaryAlert): una tubería AWS de código abierto, sin servidor que escanea y alerta en archivos cargados basados ​​en un conjunto de reglas de Yara.
• 4973 567? CAPA): detecta capacidades en archivos ejecutables.
• CHKROOTKIT - Detección local de RootKit de Linux.
• CLAMAV - Motor antivirus de código abierto.
• 7842 738? Detectarlo fácil (morir)): un programa para determinar tipos de archivos.
• Exeinfo PE - Packer, Detector de compresor, Información de desempaquetado, herramientas EXE internas.
• ? ExifTool - Leer, escribir y editar metadatos del archivo.
• 290 49? Marco de escaneo de archivos) - Solución modular y recursiva de escaneo de archivos.
• 1573 192? Fn2yara) - Fn2yara es una herramienta para generar firmas de Yara para las funciones de coincidencia (código) en un programa ejecutable.
• 1 0? Parser de archivos genéricos): un solo analizador de biblioteca para extraer meta información, análisis estático y detectar macros dentro de los archivos.
• 718 132? Hashdeep): calcule los hashes de resumen con una variedad de algoritmos.
• 1777 195? Hashcheck) - Extensión de shell de Windows para calcular hashes con una variedad de algoritmos.
• 3429 585? Loki) - Escáner basado en host para IOC.
• 192 35? Malfunción) - Catálogo y compare el malware a nivel de función.
• 1025 161? Manalyze) - Analizador estático para ejecutables de PE.
• 176 40? Mastín) - Marco de análisis estático.
• 618 125? Multiscanner) - marco de escaneo/análisis de archivos modulares
• 533 80? Detector de archivos NAUZ (NFD)) - Detector de enlace/compilador/herramienta para Windows, Linux y MacOS.
• 112 10? nsrllookup): una herramienta para buscar hashes en la base de datos de la biblioteca de referencia de software nacional de NIST.
• 42 9? Packerid) - Una alternativa de Python multiplataforma a PEID.
• ? PE -Bear - Herramienta de inversión para archivos PE.
• 612 139? PEFRAME) - PEFRAME es una herramienta de código abierto para realizar un análisis estático en malware ejecutable portátil y documentos maliciosos de la oficina de MS.
• PEV: un conjunto de herramientas multiplataforma para funcionar con archivos PE, proporcionando herramientas ricas en características para un análisis adecuado de binarios sospechosos.
• 499 95? Portex) - Biblioteca Java para analizar los archivos PE con un enfoque especial en el análisis de malware y la robustez de la malformación de PE.
• 1344 170? Engine de quark): un sistema de puntuación de malware Android de descuento de ofuscation
• Rootkit Hunter - Detectar Linux RootKits.
• ? SSDEEP - Calcule los hashes difusos.
• ? TotalHash.py - Script Python para una fácil búsqueda de la? Totalhash.cymru.com Base de datos.
• TRID - Identificador de archivo.
• ? Yara - Herramienta de coincidencia de patrones para analistas.
• 1577 282? Generador de reglas de Yara): genere reglas Yara basadas en un conjunto de muestras de malware. También contiene una buena cadena DB para evitar falsos positivos.
• 2 0? Yara Finder): una herramienta simple para que Yara coincida con el archivo con varias reglas de Yara para encontrar los indicadores de sospecha.

Escáneres múltiples basados ​​en la web y sandboxes de malware para análisis automatizado.

• ? Anlyz.io - Sandbox en línea.
• ? Any.run - Sandbox interactivo en línea.
• ? Andrototal: análisis gratuito en línea de APK en múltiples aplicaciones antivirus móviles.
• 237 38? Boombox) - Implementación automática de Cuckoo Sandbox Malware Lab usando Packer y Vagrant.
• Cryptam - Analice documentos de oficina sospechosos.
• ? Cuckoo Sandbox: código abierto, sandbox egoísta y sistema de análisis automatizado.
• 271 100? Cuco -modificado) - Versión modificada de Cuckoo Sandbox lanzada bajo el GPL. No se fusionó aguas arriba debido a preocupaciones legales por parte del autor.
• 22 7? cuco-modificado-api): una API de Python utilizada para controlar una caja de arena modificada por cuco.
• ? DeepViz-Analizador de archivos multi-formato con clasificación de aprendizaje automático.
• ? ?? Detux): un sandbox desarrollado para realizar un análisis de tráfico de Linux Malwares y capturar los COI.
• 1076 255? Drakvuf) - Sistema de análisis dinámico de malware.
• ? FileScan.io - Análisis de malware estático, emulación VBA/PowerShell/VBS/JS
• Firmware.re - Desempaquetes, escaneos y analiza casi cualquier paquete de firmware.
• 734 220? Habomalhunter): una herramienta automatizada de análisis de malware para archivos ELF Linux.
• ? Análisis híbrido: herramienta de análisis de malware en línea, alimentada por VXSandbox.
• ? Intezer: detectar, analizar y clasificar malware identificando la reutilización del código y las similitudes de código.
• IRMA: una plataforma de análisis asíncrono y personalizable para archivos sospechosos.
• ? Joe Sandbox - Análisis de malware profundo con Joe Sandbox.
• ? Jotti - Escáner gratuito de AV en línea.
• 390 115? Limon) - Sandbox para analizar el malware Linux.
• 369 101? Malheur) - Análisis automático de sandboxed del comportamiento de malware.
• 1658 270? Malice.io) - Marco de análisis de malware masivamente escalable.
• 368 80? Malsub) - Un marco de API RESTful de Python para servicios de análisis de malware en línea y análisis de URL.
• ? Configuración de malware: extraiga, decodifique y muestre en línea la configuración de configuración de Malwares comunes.
• ? Malwareanalyser.io - Analizador estático basado en anomalías en línea en línea con motor de detección heurística alimentado por minería de datos y aprendizaje automático.
• ? MALWR - Análisis gratuito con una instancia de cuco sandbox en línea.
• ? Metadefender Cloud: escanee un archivo, hash, IP, URL o dirección de dominio para malware de forma gratuita.
• ? NetworkTotal: un servicio que analiza los archivos PCAP y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware que usa Suricata configurado con emergingthreats Pro.
• 1133 222? Noriben) - Utiliza Sysinternals Procmon para recopilar información sobre malware en un entorno de arena.
• ? PacketTotal - PacketTotal es un motor en línea para analizar archivos .pcap y visualizar el tráfico de red dentro.
• PDF Examiner: analice archivos PDF sospechosos.
• PROCDOT - Un kit de herramientas de análisis de malware gráfico.
• 130 39? Recompuesto): un script auxiliar para cargar de forma segura binarios en sitios de sandbox.
• 138 40? Sandboxapi) - Biblioteca de Python para construir integraciones con varias cajas de land de malware comerciales y de código abierto.
• 817 104? Ver) - El entorno de ejecución de sandboxed (ver) es un marco para la automatización de pruebas de construcción en entornos seguros.
• ? Análisis de gotero de Sekoia - Análisis de gotero en línea (JS, VBScript, Microsoft Office, PDF).
• ? Virustotal: análisis en línea gratuito de muestras de malware y URL
• 139 30? Visualize_logs) - Biblioteca de visualización de código abierto y herramientas de línea de comandos para registros. (Cuco, Procmon, más por venir ...)
• ? Lista de Zeltser: sandboxes y servicios automatizados gratuitos, compilados por Lenny Zeltser.

Inspeccionar dominios y direcciones IP.

• ? AbuseIPDB - AbuseIPDB es un proyecto dedicado a ayudar a combatir la propagación de piratas informáticos, spammers y actividades abusivas en Internet.
• ? Badips.com - Servicio de lista negra IP basado en la comunidad.
• 38 6? Boomerang): una herramienta diseñada para una captura consistente y segura de los recursos web fuera de la red.
• ? Cymon - Tracker de inteligencia de amenazas, con búsqueda IP/dominio/hash.
• Desenmascara.me: herramienta de un clic para recuperar la mayor cantidad de metadatos posible para un sitio web y para evaluar su buena posición.
• ? DIG - Dig en línea gratuita y otras herramientas de red.
• 4957 777? DNSTWIST) - Motor de permutación de nombre de dominio para detectar errores tipográficos, phishing y espionaje corporativo.
• 100 24? IPINFO): recopile información sobre una IP o dominio buscando recursos en línea.
• 505 101? Machinae) - Herramienta OSINT para recopilar información sobre URL, IPS o hashes. Similar al Automator.
• 1655 258? MailChecker) - Biblioteca de detección temporal de correo electrónico temporal cruzada.
• 80 22? Maltegovt) - Transformación de Maltego para la API virustotal. Permite la investigación de dominio/IP, y la búsqueda de informes de hashs y escaneo de archivos.
• Multi RBL: múltiples Listas DNS DNS y delantera Se confirma la búsqueda de DNS inversa en más de 300 RBL.
• ? Servicios de Normshield: servicios API gratuitos para detectar posibles dominios de phishing, direcciones IP con lista negra y cuentas violadas.
• ? Phishstats - Estadísticas de phishing con búsqueda de IP, dominio y sitio web
• ? Spyse - Subdominios, Whois, dominios realizados, DNS, anfitriones como, SSL/TLS Info,
• ? SecurityTrails: Whois históricos y actuales, registros DNS históricos y actuales, dominios similares, información de certificados y otras API y herramientas relacionadas con el dominio y IP.
• ? SPAMCOP - Lista de bloques de spam basado en IP.
• ? Spamhaus - Lista de bloques basada en dominios e IP.
• ? Sucuri Sitecheck - Malware del sitio web gratuito y escáner de seguridad.
• ? Talos Intelligence - Búsqueda de IP, dominio o propietario de la red. (Anteriormente SenderBase.)
• TEKDEFENSE AUTOR - OSINT Tool para recopilar información sobre URL, IPS o hashes.
• ? Urlhaus: un proyecto de abuso. CH con el objetivo de compartir URL maliciosas que se están utilizando para la distribución de malware.
• UrlQuery - escáner de URL gratis.
• ? URLSCAN.IO - Información gratuita de escáner y dominio de URL.
• ? WHOIS - DOMAINTOOLS GRATUITO en línea Whois Search.
• ? Lista de Zeltser: herramientas en línea gratuitas para investigar sitios web maliciosos, compilados por Lenny Zeltser.
• ? Zscalar Zulu - Analizador de riesgos de URL Zulu.

Analizar URL maliciosas. Consulte también el análisis de dominio y los documentos y las secciones de shellcode.

• 14757 1155? Visor Bytecode): combina múltiples espectadores y descompiladores de Bytecode Java en una herramienta, incluido el soporte APK/DEX.
• ? Firebug - Extensión Firefox para el desarrollo web.
• Descompilador de Java - Descompilar e inspeccionar aplicaciones Java.
• ? ?? Parser Java IDX) - PARSES Java IDX Cache Archivos.
• JSDETOX - Herramienta de análisis de malware JavaScript.
• 163 65? JSUNPACK -N) - Un desempaquador de JavaScript que emula la funcionalidad del navegador.
• 2006 223? Krakatau) - Java Decompiler, Assembler y Desmombler.
• Malzilla - Analizar páginas web maliciosas.
• 432 92? Rabcdasm) - un "desaprobación de bytecode de ActionScript robusto".
• ? Investigador SWF - Análisis estático y dinámico de aplicaciones SWF.
• SWFTOOLS - Herramientas para trabajar con archivos Adobe Flash.
• XXXSWF - Un script de Python para analizar archivos flash.

Analice JS y SHellcode maliciosos de PDFS y documentos de la oficina. Consulte también la sección de malware del navegador.

• 178 41? Analyzepdf): una herramienta para analizar PDF e intentar determinar si son maliciosos.
• 623 86? Box -JS): una herramienta para estudiar malware JavaScript, con soporte JScript/WScript y emulación ActiveX.
• Distorm - Desensamblador para analizar el código de concha malicioso.
• ? Inspección de archivos profundos de investigación: cargue señuelos de malware comunes para la inspección de archivos profundos y el análisis heurístico.
• JS Beautifier - JavaScript Desempacking y Deobfuscation.
• Libemu - Biblioteca y herramientas para la emulación de shellcode x86.
• 53 16? Malpdfobj) - Deconstruya PDF maliciosos en una representación JSON.
• OfficeMalscanner: escanee las trazas maliciosas en los documentos de la oficina de la Sra.
• OLEVBA: un script para analizar los documentos OLE y OpenXML y extraer información útil.
• ? Origami PDF: una herramienta para analizar PDF maliciosos y más.
• ? Herramientas PDF: PDFID, PDF -Parser y más de Didier Stevens.
• 35 9? PDF X-Ray Lite)-Una herramienta de análisis PDF, la versión sin backend de PDF X-Ray.
• PEEPDF - Herramienta Python para explorar PDF posiblemente maliciosos.
• ? Quicksand - Quicksand es un marco compacto C para analizar documentos de malware sospechosos para identificar exploits en flujos de diferentes codificaciones y para localizar y extraer ejecutables integrados.
• ? Spidermonkey: el motor JavaScript de Mozilla, para depurar JS malicioso.

Para extraer archivos de imágenes de disco y memoria interna.

• 1133 192? Bulk_extractor) - Herramienta de talla de archivos rápidos.
• 193 22? Evtxtract) - Talle Windows Event Arches de datos binarios sin procesar.
• Foremost - Herramienta de talla de archivos diseñada por la Fuerza Aérea de EE. UU.
• 624 69? HACHOIR3) - Hachoir es una biblioteca de Python para ver y editar un campo de flujo binario por campo.
• 629 100? Scalpel): otra herramienta de talla de datos.
• 82 48? Sflock) - Extracción de archivos anidada/desempaquetado (utilizado en Cuckoo Sandbox).

Reverse XOR y otros métodos de ofuscación de código.

• ? Balbuzard: una herramienta de análisis de malware para revertir la ofuscación (XOR, ROL, etc.) y más.
• 7008 2691? DE4DOT) - .NET DEOBFUSCATOR Y DESPACKER.
• ex_pe_xor & iheartxor - Dos herramientas de Alexander Hanel para trabajar con archivos codificados XOR de un solo byte.
• 3352 456? FLOSS) - El solucionador de cadenas de FireEye Labs ofuscado utiliza técnicas avanzadas de análisis estático para desobfuscar automáticamente las cadenas de binarios de malware.
• 86 18? Nomorexor) - Adivina una tecla XOR de 256 bytes usando análisis de frecuencia.
• 270 72? PackerAttacker) - Un extractor de código oculto genérico para malware de Windows.
• 3055 626? Pyinstaller Extractor): un script de Python para extraer el contenido de un archivo ejecutable de Windows generado por Pyinstaller. El contenido del archivo PYZ (generalmente archivos PYC) presente dentro del ejecutable también se extrae y se soluciona automáticamente para que un descompilador de bytecode de Python lo reconozca.
• ? ?? Uncompyle6) - Un descompilador de byto de byto de Python cruzado. Traduce el bytecodo de Python nuevamente en un código fuente de Python equivalente.
• 670 83? Un {i} Packer) - Desempaquetador automático e independiente de la plataforma para binarios de Windows basados ​​en la emulación.
• ? ?? Unbacker) - Desempaquetador de malware automatizado para malware de Windows basado en WinAppdbg.
• ? ?? Unxor) - Supongo que las teclas XOR utilizan ataques conocidos -creadores.
• 133 24? VirtualDeObFuscator) - Herramienta de ingeniería inversa para envoltorios de virtualización.
• XorbruteForcer: un guión de Python para las teclas XOR de un solo byte.
• ? XorSearch & XorStrings: un par de programas de Didier Stevens para encontrar datos Xored.
• 1406 173? Xortool) - Adivina la longitud de la tecla XOR, así como la tecla misma.

Los desarmados, los depugadores y otras herramientas de análisis estáticas y dinámicas.

• 7659 1088? Angr) - Marco de análisis binario de la plataforma agnóstico desarrollado en SECLAB de UCSB.
• ? ?? BAMFDETECT): identifica y extrae información de bots y otro malware.
• 2081 273? BAP) - Marco de análisis binario multiplataforma y de código abierto (MIT) desarrollado en Cylab de CMU.
• 1413 168? BARF) - Multiplatforma, análisis binario de código abierto y marco de ingeniería inversa.
• 2878 453? Binnavi) - IDE de análisis binario para ingeniería inversa basada en la visualización de gráficos.
• ? Ninja binario: una plataforma de ingeniería de inversión que es una alternativa a la IDA.
• 11665 1578? Binwalk) - Herramienta de análisis de firmware.
• 123 22? Bluepill) - Marco para ejecutar y depurar malware evasivo y ejecutables protegidos.
• 7693 1562? Capstone) - Marco de desmontaje para el análisis y la inversión binaria, con soporte para muchas arquitecturas y enlaces en varios idiomas.
• 44 6? CodeBro) - navegador de código basado en la web que usa CLANG para proporcionar un análisis básico de código.
• ? ?? Cortador) - GUI para radare2.
• 808 168? Decaf (marco de análisis de código ejecutable dinámico)): una plataforma de análisis binario basada en QEMU. DroidScope ahora es una extensión de descafeinado.
• 26848 5153? DNSPY) - .NET EDITOR DE ENSAMBLEACIÓN, DECOMPILER Y DEBUGGER.
• ? DOTPEEK - BROWSER DE DECOMPILER Y ENSAMBLEA .NET gratuito.
• Evan's Depugger (EDB) - Un depurador modular con una GUI QT.
• 2258 194? Fibratus) - herramienta para exploración y rastreo del núcleo de Windows.
• ? FPORT - informa abrir los puertos TCP/IP y UDP en un sistema en vivo y los asigna a la aplicación de propiedad.
• GDB - El depurador GNU.
• 7107 742? GEF) - Características mejoradas GDB, para explotadores e ingenieros inversos.
• 52649 5953? GHIDRA) - Un marco de Ingeniería Inversa de Software (SRE) creado y mantenido por la Dirección de Investigación de la Agencia de Seguridad Nacional.
• 170 19? Hackers -Grep): una utilidad para buscar cadenas en ejecutables de PE que incluyen importaciones, exportaciones y símbolos de depuración.
• ? Hopper - The MacOS y Linux Dissembler.
• ? IDA Pro - Windows Dissembler and Debugger, con una versión de evaluación gratuita.
• 981 226? IDR) - Interactive Delphi Reconstructor es un descompilador de archivos ejecutables de Delphi y bibliotecas dinámicas.
• Inmunity Debugger - Debugger para análisis de malware y más, con una API de Python.
• ILSPY - ILSPY es el navegador de ensamblaje .NET de código abierto y el descompilador.
• Kaitai Struct - DSL para formatos de archivo / protocolos de red / estructuras de datos Ingeniería y disección inversa, con generación de código para C ++, C#, Java, JavaScript, Perl, PHP, Python, Ruby.
• ? Lief - Lief proporciona una biblioteca multiplataforma para analizar, modificar y abstracto de formatos ELF, PE y MOCHO.
• LTRACE - Análisis dinámico para ejecutables de Linux.
• 85 24? Mac-A-Mal)-Un marco automatizado para la caza de malware MAC.
• ? Objdump - Parte de los binutilos GNU, para el análisis estático de los binarios de Linux.
• OllyDBG: un depurador de nivel de ensamblaje para ejecutables de Windows.
• ? Ollydumpex - Descargar la memoria del proceso de Windows de malware (desempaquetado) y almacenar el archivo PE RAW o reconstruir. Este es un complemento para Ollydbg, Immunity Debugger, IDA Pro, WindBG y X64DBG.
• 105 42? Panda) - Plataforma para análisis dinámico neutral en arquitectura.
• 5915 809? PEDA) - Python Exploit Development Assistance para GDB, una pantalla mejorada con comandos agregados.
• ? Pestudio - Realice un análisis estático de ejecutables de Windows.
• 1573 192? PHAROS) - El marco de análisis binario de Pharos se puede utilizar para realizar un análisis estático automatizado de binarios.
• 3049 276? Plasma) - Desensambleador interactivo para X86/ARM/MIPS.
• ? PPEE (Puppy): un explorador profesional de archivos PE para reversiones, investigadores de malware y aquellos que desean inspeccionar estáticamente los archivos PE con más detalle.
• ? Process Explorer - Administrador de tareas avanzados para Windows.
• Hacker de procesos: herramienta que monitorea los recursos del sistema.
• ? Monitor de proceso: herramienta de monitoreo avanzado para programas de Windows.
• ? PSTOOLS - Herramientas de línea de comandos de Windows que ayudan a administrar e investigar los sistemas en vivo.
• 386 95? Pyew) - Herramienta Python para el análisis de malware.
• 1657 247? PyreBox) - Python Scriptable Inview Engineering Sandbox por el equipo de Talos en Cisco.
• ? Marco Qiling - Marco de emulación de plataforma cruzada y Sanboxing con instrumentos para el análisis binario.
• ? ?? QKD) - QEMU con servidor WindBG integrado para la depuración sigilosa.
• RADARE2 - Marco de ingeniería inversa, con soporte de depuradores.
• ? RegShot - Registro Compare la utilidad que compara las instantáneas.
• ? RETDEC - DECOMPILADOR DE Código de máquina retargetable con AN? Servicio de descompilación en línea y? API que puede usar en sus herramientas.
• 285 42? Ropmemu): un marco para analizar, diseccionar y descompilar ataques complejos de reutilización de código.
• 1128 232? Scylla Imports Reconstructor) - Encuentre y arregle el IAT de un malware PE32 desactivado / arrojado.
• 3526 441? Scyllahide)-Una biblioteca y complemento anti-anti-debug para Ollydbg, X64DBG, Ida Pro y TitanEngine.
• 66 15? SMRT) - Herramienta de investigación de malware sublime, un complemento para Sublime 3 para ayudar con Malware Analyis.
• ? Strace - Análisis dinámico para ejecutables de Linux.
• 688 125? Stringsifter): una herramienta de aprendizaje automático que clasifica automáticamente las cadenas en función de su relevancia para el análisis de malware.
• ? Triton - Un marco de análisis binario dinámico (DBA).
• 1029 298? UDIS86) - Biblioteca y herramienta desmoronada para x86 y x86_64.
• 945 187? Vivisect) - Herramienta Python para el análisis de malware.
• ? WindBG: depurador multipropósito para el sistema operativo de computadora de Microsoft Windows, utilizado para depurar aplicaciones de modo de usuario, controladores de dispositivos y los volcados de memoria en modo kernel.
• ? ?? X64DBG) - Un depurador de código abierto x64/x32 para Windows.

Analizar las interacciones de red.

• ? Bro - Analizador de protocolo que funciona a escala increíble; Tanto los protocolos de archivo como de red.
• 33 5? Broyara) - Use las reglas de Yara de Bro.
• 714 159? CAPTIPPER) - Explorador de tráfico HTTP malicioso.
• 489 112? Chophop) - Análisis de protocolo y marco de decodificación.
• ? CloudShark: herramienta basada en la web para análisis de paquetes y detección de tráfico de malware.
• 1830 364? FAKINET -NG) - Herramienta de análisis de red dinámica de próxima generación.
• ? FIDDLER - Interceptando proxy web diseñado para "depuración web".
• 188 64? Hale) - Botnet C&C Monitor.
• Haka: un lenguaje orientado a la seguridad de código abierto para describir protocolos y aplicar políticas de seguridad sobre el tráfico capturado (en vivo).
• 95 35? HttPreplay) - Biblioteca para analizar y leer archivos PCAP, incluidas las transmisiones TLS utilizando TLS Master Secrets (utilizado en Cuckoo Sandbox).
• INETSIM - Emulación del servicio de red, útil al construir un laboratorio de malware.
• 743 156? LAIKA BOSS) - Laika Boss es un sistema de análisis de malware y detección de intrusos centrados en el archivo.
• 371 60? MALCOLM) - Malcolm es un conjunto de herramientas de análisis de análisis de tráfico de red potentes y fácilmente desplegables para artefactos completos de captura de paquetes (archivos PCAP) y registros de Zeek.
• 1160 216? Malcom) - Analizador de comunicaciones de malware.
• 6660 1105? MALTRAIL) - Un sistema de detección de tráfico malicioso, que utiliza listas disponibles públicamente (negras) que contienen senderos maliciosos y/o generalmente sospechosos y con una interfaz de informes y análisis.
• ? MITMPROXY - Tráfico de red de intercepción sobre la marcha.
• 6442 1045? Moloch) - Sistema de captura de tráfico IPv4, indexación y base de datos.
• NetworkMiner - Herramienta de análisis forense de red, con una versión gratuita.
• 909 102? ngrep): busque a través del tráfico de red como GREP.
• 345 61? PCAPVIZ) - Topología de red y visualizador de tráfico.
• 58 13? Python ICAP Yara): un servidor ICAP con el escáner Yara para URL o contenido.
• 78 27? SquidMagic) - Squidmagic es una herramienta diseñada para analizar un tráfico de red basado en la web para detectar servidores de comando y control central (C&C) y sitios maliciosos, utilizando Squid Proxy Server y Spamhaus.
• Tcpdump - recopilar tráfico de red.
• TCPICK - Trach y reensamblar las transmisiones TCP desde el tráfico de la red.
• TCPXtract: extraiga archivos del tráfico de red.
• ? Wireshark: la herramienta de análisis de tráfico de red.

Herramientas para diseccionar malware en imágenes de memoria o sistemas en ejecución.

• ? Blacklight: cliente de Windows/MacOS Forensics que admite HiberFil, PageFile, Análisis de memoria en bruto.
• 211 48? DAMM) - Análisis diferencial de malware en la memoria, basado en la volatilidad.
• 260 42? evolucionar) - interfaz web para el marco forense de memoria de volatilidad.
• ? Findaes: encuentre claves de cifrado AES en la memoria.
• 281 57? Invero.net) - El marco de análisis de memoria de alta velocidad desarrollado en .NET admite todos los Windows X64, incluye integridad de código y soporte de escritura.
• 52 9? Muninn): un script para automatizar partes de análisis utilizando la volatilidad y crear un informe legible. 226 19? OROCHI) - OROCHI es un marco de código abierto para el análisis colaborativo de volcado de memoria forense.
• Rekall - Marco de análisis de memoria, bifurcado de la volatilidad en 2013.
• 49 9? TotalRecall) - Script basado en la volatilidad para automatizar varias tareas de análisis de malware.
• 194 50? Voldiff) - Ejecute la volatilidad en las imágenes de memoria antes y después de la ejecución de malware, y el informe cambia.
• 7431 1294? Volatilidad) - Marco forense de memoria avanzada.
• 381 82? Volutilidad) - Interfaz web para el marco de análisis de memoria de volatilidad.
• 621 179? WDBgark) - Extensión anti -Rootkit WindBG.
• ? WindBG - Inspección de memoria en vivo y depuración del núcleo para sistemas Windows.

• 184 29? Achoir) - Un guión de respuesta a incidentes en vivo para recopilar artefactos de Windows.
• 49 11? Python -EVT) - Biblioteca de Python para los registros de eventos de Poner Windows.
• Python -Registry - Biblioteca de Python para archivos de registro de análisis.
• Regripper ?? ?

• 158 53? ALEPH) - Sistema de tubería de análisis de malware de código abierto.
• ? Crith - Investigación colaborativa sobre amenazas, un repositorio de malware y amenazas.
• ? Fama: un marco de análisis de malware con una tubería que se puede extender con módulos personalizados, que pueden encadenar e interactuar entre sí para realizar un análisis de extremo a extremo.
• 134 43? Malwarehouse) - almacenar, etiquetar y buscar malware.
• 376 60? Polichombr): una plataforma de análisis de malware diseñada para ayudar a los analistas a revertir los malwares en colaboración.
• Stoq - Marco de análisis de contenido distribuido con soporte extenso de complementos, desde la entrada hasta la salida y todo lo demás.
• Viper: un marco de gestión y análisis binario para analistas e investigadores.

• 6002 1178? Al-Khaser): un malware POC con buenas intenciones que se destacan para enfatizar los sistemas antimalware.
• 39 12? Cryptoknight) - Algoritmo criptográfico automatizado Ingeniería inversa y marco de clasificación.
• 306 59? DC3 -MWCP): el marco de configuración de malware del Centro de Crimen Cyber ​​del Defensa.
• 6727 931? Flare VM): una distribución de seguridad totalmente personalizable, basada en Windows, para el análisis de malware.
• 537 198? MalsploitBase): una base de datos que contiene exploits utilizados por malware.
• ? Museo de malware: colección de programas de malware que se distribuyeron en los años ochenta y noventa.
• 1 0? Organizador de malware): una herramienta simple para organizar grandes archivos maliciosos/benignos en una estructura organizada.
• 3464 467? Pafish) - Paranoid Fish, a demonstration tool that employs several techniques to detect sandboxes and analysis environments in the same way as malware families do.
• ? REMnux - Linux distribution and docker images for malware reverse engineering and analysis.
• ? Tsurugi Linux - Linux distribution designed to support your DFIR investigations, malware analysis and OSINT (Open Source INTelligence) activities.
• ? Santoku Linux - Linux distribution for mobile forensics, malware analysis, and security.

Essential malware analysis reading material.

• ? Learning Malware Analysis - Learning Malware Analysis: Explore the concepts, tools, and techniques to analuze and investigate Windows malware
• ? Malware Analyst's Cookbook and DVD - Tools and Techniques for Fighting Malicious Code.
• ? Mastering Malware Analysis - Mastering Malware Analysis: The complete malware analyst's guide to combating malicious software, APT, cybercime, and IoT attacks
• ? Mastering Reverse Engineering - Mastering Reverse Engineering: Re-engineer your ethical hacking skills
• ? Practical Malware Analysis - The Hands-On Guide to Dissecting Malicious Software.
• ? Practical Reverse Engineering - Intermediate Reverse Engineering.
• ? Real Digital Forensics - Computer Security and Incident Response.
• ? Rootkits and Bootkits - Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats
• ? The Art of Memory Forensics - Detecting Malware and Threats in Windows, Linux, and Mac Memory.
• ? The IDA Pro Book - The Unofficial Guide to the World's Most Popular Disassembler.
• ? The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• 1668 282? APT Notes) - A collection of papers and notes related to Advanced Persistent Threats.
• 964 282? Ember) - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• 10591 742? File Formats posters) - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• ? Malicious Software - Malware blog and resources by Lenny Zeltser.
• ? Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• ? Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• 165 15? Malware Persistence) - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• ? Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• ? Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• 3784 788? RPISEC Malware Analysis) - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• 332 73? Windows Registry specification) - Windows registry file format specification.
• ? /r/csirt_tools - Subreddit for CSIRT tools and resources, with a ? malware analysis flair.
• ? /r/Malware - The malware subreddit.
• ? /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• 8295 1455? Android Security)
• 6387 742? AppSec)
• 9945 1497? CTFs)
• 1233 107? Executable Packing)
• 4039 632? Forensics)
• 13362 1556? "Seco")
• 8757 1267? Honeypots)
• 1658 438? Industrial Control System Security)
• 7751 1537? Incident-Response)
• 5229 739? Infosec)
• 3149 466? PCAP Tools)
• 22166 4493? Pentesting)
• 12586 1938? Seguridad)
• 8246 1499? Threat Intelligence)
• 3608 495? YARA)

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

¡Gracias!

12101 2585? rshipp/awesome-malware-analysis)