fucking awesome malware analysis

Une liste organisée d'outils et de ressources d'analyse de logiciels malveillants impressionnants. Inspiré par 228609 25039? Awesome-python) et 31110 5080? génial-php).

• Collection de logiciels malveillants
  • Anonymissante
  • Pots de miel
  • Corpus malware
• Intelligence des menaces open source
  • Outils
  • Autres ressources
• Détection et classification
• Scanners en ligne et bacs de sable
• Analyse du domaine
• Malware du navigateur
• Documents et Shellcode
• Sculpture de fichiers
• Désobfuscation
• Débogage et ingénierie inverse
• Réseau
• Mémoire médico-légale
• Artefacts Windows
• Stockage et flux de travail
• Divers
• Ressources
  • Livres
  • Autre
• Listes impressionnantes liées
• Contributif
• Merci

Voir la traduction chinoise: 恶意软件分析大合集 ​​.md.

Anonymismeurs du trafic Web pour les analystes.

• Anonymouse.org - un anonymissateur Web gratuit basé sur le Web.
• ? OpenVPN - VPN Software and Hosting Solutions.
• Privoxy - un serveur proxy open source avec certaines fonctionnalités de confidentialité.
• ? Tor - le routeur d'oignon, pour naviguer sur le Web sans laisser de traces de l'IP client.

Pichez et récupérez vos propres échantillons.

• 1261 417? CONPOT) - POTE DE MONE ICS / SCADA.
• 5271 903? CowRie) - HoneyPot SSH, basé sur Kippo.
• 61 12? DemoHunter) - Papots de miel distribués à faible interaction.
• 718 184? Dionaea) - HoneyPot conçu pour piéger les logiciels malveillants.
• 565 168? GLASTOPF) - Document de miel de l'application Web.
• Honeyd - Créez un miel virtuel.
• ? Honeydrive - Distro Linux du pack de pot de miel.
• 1230 174? HoneyTrap) - OpenSource System pour l'exécution, la surveillance et la gestion des pots de miel.
• 2440 631? MHN) - MHN est un serveur centralisé pour la gestion et la collecte de données de pots de miel. MHN vous permet de déployer rapidement des capteurs et de collecter des données immédiatement, visibles à partir d'une interface Web soignée.
• 46 39? Mnemosyne) - une normalisateur pour les données de la pot de miel; Soutient Dionaea.
• 998 203? Thug) - Honeyclient à faible interaction, pour enquêter sur des sites Web malveillants.

Échantillons de logiciels malveillants collectés pour analyse.

• Clean MX - Base de données en temps réel de logiciels malveillants et de domaines malveillants.
• CONTAGIO - Une collection d'échantillons et d'analyses de logiciels malveillants récents.
• ? Exploiter la base de données - Échantillons d'exploitation et de shellcode.
• ? Infosec - CERT-PA - Collection et analyse des échantillons de logiciels malveillants.
• ? Enquête Labs - Corpus perplexe éternel de documents Microsoft malveillants.
• 686 238? Collection JavaScript Mallware) - Collection de près de 40 000 échantillons de logiciels malveillants JavaScript
• ? MALPEDIA - Une ressource fournissant une identification rapide et un contexte exploitable pour les enquêtes de logiciels malveillants.
• ? MALSHARE - Le grand référentiel de logiciels malveillants a activement mis au rebut des sites malveillants.
• 94 25? Ragpicker) - Crawler de logiciels malveillants basés sur les plugins avec pré-analyse et fonctionnalités de rapport
• 11438 2532? thezoo) - échantillons de logiciels malveillants en direct pour les analystes.
• Tracker H3X - ACGORATEUR POUR MALWARE CORPUS Tracker et sites de téléchargement malveillant.
• ? ?? Vduddu Malware Repo) - Collection de divers fichiers malveillants et code source.
• ? Virusbay - Référentiel de logiciels malveillants communautaires et réseau social.
• Virusign - MALWARE DATABASE qui a détecté par de nombreux programmes anti-malware sauf Clamav.
• ? Virusshare - Référentiel de logiciels malveillants, enregistrement requis.
• VX Vault - Collection active d'échantillons de logiciels malveillants.
• ? Sources de Zeltser - Une liste de sources d'échantillons de logiciels malveillants réunis par Lenny Zeltser.
• 1427 697? Code source Zeus) - Source pour le Trojan Zeus a fui en 2011.
• VX Underground - Collection massive et croissante d'échantillons de logiciels malveillants gratuits.

Récolter et analyser les CIO.

• 122 18? AbuseHhelper) - Un cadre open source pour recevoir et redistribuer les aliments pour abus et menacer Intel.
• ? Alienvault Open Threat Exchange - Partagez et collaborez dans le développement de l'intelligence des menaces.
• 657 171? Combiner) - outil pour rassembler des indicateurs de renseignement sur les menaces provenant de sources accessibles au public.
• 119 25? FileIntel) - Pull Intelligence par fichier hachage.
• 265 51? HostIntel) - Pull Intelligence par hôte.
• ? IntelMQ - Un outil pour les certificats de traitement des données d'incident à l'aide d'une file d'attente de messages.
• ? IOC Editor - Un éditeur gratuit pour les fichiers XML IOC.
• 513 91? IOCEXTRACT) - Indicateur avancé de l'extracteur de compromis (IOC), de la bibliothèque Python et de l'outil de ligne de commande.
• 201 61? ioc_writer) - Python Library pour travailler avec des objets OpenIOC, de Mandiant.
• 104 24? Malpipe) - Moteur d'ingestion et de traitement des logiciels malveillants / IOC, qui enrichit les données collectées.
• 228 60? Massive Octo Spice) - Auparavant connu sous le nom de CIF (Collective Intelligence Framework). Agrégats IOC à partir de diverses listes. Organisé par la Fondation CSirt Gadgets.
• 5449 1416? MISP) - plate-forme de partage d'informations malveillantes organisée par le projet MISP.
• ? PulseDive - plate-forme d'intelligence de menace gratuite et axée sur la communauté collectant des IOC à partir de flux open-source.
• 18 7? Pyioce) - un éditeur Python OpenIOC.
• ? RiskIQ - Recherche, connecter, étiqueter et partager les IP et les domaines. (Était passivétotal.)
• 80 27? ThreatGregator) - regroupe les menaces de sécurité d'un certain nombre de sources, y compris certaines des personnes énumérées ci-dessous dans d'autres ressources.
• ? ThreatConnect - TC Open vous permet de voir et de partager les données de menace open source, avec le soutien et la validation de notre communauté gratuite.
• ? ThreatCrowd - Un moteur de recherche pour les menaces, avec visualisation graphique.
• ? ?? Menacestor) - Construire des pipelines Intel de menace automatisées sur Twitter, RSS, GitHub, etc.
• 66 13? ThreatTracker) - Un script Python pour surveiller et générer des alertes basées sur les CIO indexés par un ensemble de moteurs de recherche personnalisés Google.
• 173 43? TIQ-test) - Visualisation des données et analyse statistique des flux de renseignement sur les menaces.

Intelligence des menaces et ressources du CIO.

• ? Autoshun? Liste) - SNORT PLUGIN ET BLOCKLIST.
• Bambenek Consulting Feeds - OSINT Feeds basé sur des algorithmes DGA malveillants.
• ? Fidelis Barncat - base de données de configuration de logiciels malveillants étendus (doit demander l'accès).
• CI Army (List) - Bloclists de sécurité du réseau.
• ? Critique Stack - Market Intel gratuit - Aggréateur Intel gratuit avec déduplication avec plus de 90 flux et plus de 1,2 million d'indicateurs.
• Cybercrime Tracker - plusieurs tracker actif botnet.
• 465 117? FireEye IOCS) - Indicateurs de compromis partagés publiquement par Fireeye.
• ? Firehol IP Listes - Analytics pour plus de 350 listes de propriété intellectuelle en mettant l'accent sur les attaques, les logiciels malveillants et les abus. L'évolution, les changements d'histoire, les cartes de pays, l'âge des IPs énumérés, la politique de rétention, les chevauche.
• ? HoneyDB - Collecte et agrégation de données de capteurs de pot de miel conduites par la communauté.
• 213 110? HPFeeds) - Protocole d'alimentation de la pot de miel.
• ? InfoSec - CERT-PA LISTES? Ips -? Domaines -? URL) - BlockList Service.
• ? Enquête REPDB - Aggrégation continue des CIO à partir d'une variété de sources de réputation ouvertes.
• ? Enquête IOCDB - Agrégation continue des CIO à partir de divers blogs, repos github et Twitter.
• ? Internet Storm Center (DShield) - Journal et base de données d'incident consultable, avec un Web? API. ( 29 13? Bibliothèque non officielle Python)).
• MALC0DE - Base de données incidente consultable.
• Liste du domaine des logiciels malveillants - Recherchez et partagez des URL malveillants.
• ? Metadefender Threat Intelligence Feed - Liste des hachages de fichiers les plus recherchés de Metadefender Cloud.
• ? OpenIOC - Framework pour le partage de l'intelligence des menaces.
• ? ProofPoint Menace Intelligence - Règlement et plus encore. (Anciennement des menaces émergentes.)
• ? Présentation des ransomwares - Une liste des ransomwares avec les détails, la détection et la prévention.
• STIX - Expression des informations sur les menaces structurées - Langage standardisé pour représenter et partager des informations sur la cyber-menace. Efforts connexes de? MITRE:
  • Capec - Énumération et classification du modèle d'attaque commune
  • Cybox - Expression des cyber observables
  • Maec - Énumération et caractérisation des attributs de logiciels malveillants
  • Taxii - Échange automatisé de confiance d'informations sur les indicateurs
• ? SystemLookup - Systemlookup héberge une collection de listes qui fournissent des informations sur les composants des programmes légitimes et potentiellement indésirables.
• ? ThreatMiner - Portail d'exploration de données pour l'intelligence des menaces, avec recherche.
• ? THERATRECON - Recherchez des indicateurs, jusqu'à 1000 gratuits par mois.
• ? MenaceShare - C2 Panel Tracker
• 4218 1008? Règles Yara) - Yara Règles Repository.
• 1769 294? Yeti) - Yeti est une plate-forme destinée à organiser des observables, des indicateurs de compromis, des TTP et des connaissances sur les menaces dans un seul référentiel unifié.
• ? Zeus Tracker - Zeus Blocklists.

Antivirus et autres outils d'identification des logiciels malveillants

• 204 35? Analyzepe) - Wrapper pour une variété d'outils pour faire rapport sur les fichiers Windows PE.
• ? Assemblyline - Un système d'analyse de triage de fichiers et de logiciels malveillants intégrant les meilleurs outils de la communauté de la cybersécurité.
• 1416 186? BinaryAlert) - Un pipeline AWS open source sans serveur qui analyse et alerte sur les fichiers téléchargés en fonction d'un ensemble de règles YARA.
• 4973 567? capa) - détecte les capacités dans les fichiers exécutables.
• Chkrootkit - Détection locale Linux Rootkit.
• Clamav - moteur antivirus open source.
• 7842 738? Détectez-le Easy (Die)) - un programme de détermination des types de fichiers.
• EXEINFO PE - Packer, détecteur de compresseur, déballage des informations, outils EXE internes.
• ? EXIFTOOL - Lire, écrire et modifier les métadonnées du fichier.
• 290 49? Framework de numérisation de fichiers) - Solution modulaire et récursive de fichiers de fichiers.
• 1573 192? fn2yara) - fn2yara est un outil pour générer des signatures YARA pour les fonctions de correspondance (code) dans un programme exécutable.
• 1 0? Analyseur de fichiers génériques) - Un analyseur de bibliothèque unique pour extraire les méta-informations, l'analyse statique et détecter les macros dans les fichiers.
• 718 132? Hashdeep) - Calculez les hachages de digestion avec une variété d'algorithmes.
• 1777 195? HashCheck) - Extension de shell Windows pour calculer les hachages avec une variété d'algorithmes.
• 3429 585? Loki) - Scanner d'hôtes pour IOC.
• 192 35? Dysfonctionnement) - catalogue et comparer les logiciels malveillants à un niveau de fonction.
• 1025 161? Manalyze) - Analyseur statique pour les exécutables PE.
• 176 40? Mastiff) - Cadre d'analyse statique.
• 618 125? MultiScanner) - Framework modular File Scanning / Analysis
• 533 80? Détecteur de fichiers NAUZ (NFD)) - Linker / Compiler / Tool Detector pour Windows, Linux et MacOS.
• 112 10? NSRLLOOKUP) - Un outil pour rechercher des hachages dans la base de données nationale de la bibliothèque de référence des logiciels de NIST.
• 42 9? packerid) - une alternative python multiplateforme à Peid.
• ? PE-Bear - outil de revers pour les fichiers PE.
• 612 139? Peframe) - Peframe est un outil open source pour effectuer une analyse statique sur les logiciels malveillants exécutables portables et les documents malveillants MS Office.
• PEV - Une boîte à outils multiplateforme pour travailler avec les fichiers PE, fournissant des outils riches en fonctionnalités pour une analyse appropriée des binaires suspects.
• 499 95? Portex) - bibliothèque Java pour analyser les fichiers PE avec un accent particulier sur l'analyse des logiciels malveillants et la robustesse de la malformation PE.
• 1344 170? Quark-monergin) - un système de notation des logiciels malveillants Android Obfuscation-neglect
• ROOTKIT HUNTER - détecter les rootkits Linux.
• ? SSDEEP - Calculez des hachages flous.
• ? totalhash.py - script python pour une recherche facile du? Base de données TotalHash.Cymru.com.
• Trid - Identifiant de fichier.
• ? Yara - outil de correspondance de motifs pour les analystes.
• 1577 282? Générateur de règles YARA) - générer des règles YARA basées sur un ensemble d'échantillons de logiciels malveillants. Contient également une bonne base de base de données pour éviter les faux positifs.
• 2 0? Yara Finder) - Un outil simple pour Yara correspond au fichier contre diverses règles Yara pour trouver les indicateurs de suspicion.

Des scanners multiples sur le Web et des bacs de sable de logiciels malveillants pour une analyse automatisée.

• ? anlyz.io - Sandbox en ligne.
• ? any.run - bac à sable interactif en ligne.
• ? Andrototal - Analyse en ligne gratuite des APK contre plusieurs applications antivirus mobiles.
• 237 38? BOOMBOX) - Déploiement automatique de Cuckoo Sandbox Malware Lab à l'aide de Packer et Vagrant.
• Cryptam - Analyser les documents de bureau suspects.
• ? Cuckoo Sandbox - Open Source, Sandbox auto-hébergé et Système d'analyse automatisé.
• 271 100? CUCKOO-MODIFIED) - Version modifiée de Cuckoo Sandbox publiée sous le GPL. Non fusionné en amont en raison de préoccupations juridiques de l'auteur.
• 22 7? CUCKOO-MODIFIED-API) - Une API Python utilisée pour contrôler un bac à sable modifié par CUCKOO.
• ? Deepviz - Analyseur de fichiers multi-formats avec classification d'apprentissage automatique.
• ? ?? Detux) - Un bac à sable développé pour effectuer une analyse du trafic de Linux Malwares et la capture des CIO.
• 1076 255? Drakvuf) - Système d'analyse de logiciels malveillants dynamique.
• ? FileScan.io - Analyse statique des logiciels malveillants, VBA / PowerShell / VBS / JS Emulation
• firmware.re - déballage, scanne et analyse presque tous les packages de firmware.
• 734 220? HABOMALHUNTER) - Un outil d'analyse de logiciels malveillants automatisés pour les fichiers ELF Linux.
• ? Analyse hybride - Outil d'analyse de logiciels malveillants en ligne, alimenté par Vxsandbox.
• ? Intezer - détecter, analyser et catégoriser les logiciels malveillants en identifiant la réutilisation du code et les similitudes de code.
• IRMA - Une plate-forme d'analyse asynchrone et personnalisable pour les fichiers suspects.
• ? Joe Sandbox - Analyse des logiciels malveillants profonds avec Joe Sandbox.
• ? Jotti - scanner multi-av en ligne gratuit.
• 390 115? Limon) - Sandbox pour analyser les logiciels malveillants Linux.
• 369 101? Malhéur) - Analyse de sable automatique du comportement des logiciels malveillants.
• 1658 270? Malice.io) - Framework d'analyse de logiciels malveillants massivement évolutive.
• 368 80? Malsub) - un cadre API Python RESTful pour les services de logiciels malveillants et d'analyse URL en ligne.
• ? Configuration malware - Extraire, décoder et afficher en ligne les paramètres de configuration à partir de Malwares communs.
• ? Malwareanalyser.io - Analyseur statique basé sur des logiciels malveillants en ligne avec moteur de détection heuristique propulsé par l'exploration de données et l'apprentissage automatique.
• ? MALWR - Analyse gratuite avec une instance de sandbox de coucou en ligne.
• ? Metadefender Cloud - Scannez gratuitement un fichier, un hachage, une IP, une URL ou un domaine pour malveiller.
• ? NetworkTotal - Un service qui analyse les fichiers PCAP et facilite la détection rapide des virus, des vers, des chevaux de Troie et toutes sortes de logiciels malveillants à l'aide de Suricata configurés avec EmergingThareats Pro.
• 1133 222? Noriben) - utilise Sysinternals ProCmon pour collecter des informations sur les logiciels malveillants dans un environnement en sable.
• ? Packettotal - Packettotal est un moteur en ligne pour analyser les fichiers .pcap et visualiser le trafic réseau à l'intérieur.
• Examinateur PDF - Analyser les fichiers PDF suspects.
• ProCDOT - Une trousse d'outils d'analyse des logiciels malveillants graphiques.
• 130 39? Recomposer) - Un script d'assistance pour télécharger en toute sécurité les binaires sur des sites de bac à sable.
• 138 40? SandboxAPI) - Python Library pour construire des intégrations avec plusieurs bacs de sable de logiciels malveillants open source et commerciaux.
• 817 104? Voir) - L'environnement d'exécution sandbox (voir) est un cadre pour la construction d'automatisation des tests dans des environnements sécurisés.
• ? Analyse des dropper Sekoia - Analyse des dropper en ligne (JS, VBScript, Microsoft Office, PDF).
• ? Virustotal - Analyse en ligne gratuite des échantillons de logiciels malveillants et des URL
• 139 30? Visualize_logs) - Open Source Visualization Library and Command Line Tools pour les journaux. (Coucou, procmon, plus à venir ...)
• ? Liste de Zeltser - Sandbox et services automatisés gratuits, compilé par Lenny Zeltser.

Inspectez les domaines et les adresses IP.

• ? ABUDEIPDB - ABUSEIPDB est un projet dédié à aider à lutter contre la propagation des pirates, des spammeurs et des activités abusives sur Internet.
• ? BADIPS.com - Service IP Blacklist basé sur la communauté.
• 38 6? Boomerang) - Un outil conçu pour une capture cohérente et sûre des ressources Web hors réseau.
• ? Cymon - Tracker de renseignement sur la menace, avec recherche IP / Domain / Hash.
• Desenmascara.me - Un outil de clic pour récupérer autant de métadonnées que possible pour un site Web et pour évaluer sa règle.
• ? DIG - Dig en ligne gratuite et autres outils réseau.
• 4957 777? Dnstwist) - Moteur de permutation de nom de domaine pour détecter la faute de frappe, le phishing et l'espionnage d'entreprise.
• 100 24? Ipinfo) - Recueillir des informations sur une IP ou un domaine en recherchant des ressources en ligne.
• 505 101? MACHINAE) - OUTIL OSINT pour collecter des informations sur les URL, les IPS ou les hachages. Similaire à Automator.
• 1655 258? MailChecker) - Bibliothèque de détection de messagerie temporaire transversale.
• 80 22? Maltegovt) - transformée de Maltego pour l'API Virustotal. Permet la recherche sur le domaine / IP et à la recherche de hachages de fichiers et de rapports de numérisation.
• Multi RBL - Liste noire DNS multiple et recherche DNS inversée confirmée sur plus de 300 RBLS.
• ? Services NormShield - Services API gratuits pour détecter les domaines de phishing possibles, les adresses IP sur liste noire et les comptes violés.
• ? PhishStats - Statistiques de phishing avec recherche IP, domaine et titre de site Web
• ? SPYSE - SUBDOMAINS, WHOIS, REALTED DOMAINS, DNS, HOSTS AS, SSL / TLS INFO,
• ? SecurityTrails - WHOIS historique et actuel, enregistrements DNS historiques et actuels, domaines similaires, informations sur les certificats et autres API et outils liés au domaine et à la propriété intellectuelle.
• ? Spamcop - Liste de blocs de spam basés sur IP.
• ? Spamhaus - Liste de blocs basée sur les domaines et les IP.
• ? SUCURI SITTECKECK - SCALAGE MALWORE ET SÉCURITÉ INDIQUITE GRATUIT.
• ? Talos Intelligence - Recherchez un propriétaire IP, Domain ou Network. (Auparavant, SenderBase.)
• TEKDEFENSE AUTOMATER - OUTIL OSINT pour collecter des informations sur les URL, les IPS ou les hachages.
• ? URLHAUS - Un projet de Abuse.CH dans le but de partager des URL malveillantes qui sont utilisées pour la distribution de logiciels malveillants.
• URLQuery - Scanner URL gratuit.
• ? URLScan.io - Informations gratuites du scanner URL et du domaine.
• ? Whois - Domaintools gratuitement en ligne Whois Search.
• ? Liste de Zeltser - Outils en ligne gratuits pour rechercher des sites Web malveillants, compilés par Lenny Zeltser.
• ? ZSCALAR ZULU - Analyseur de risque URL zoulu.

Analyser les URL malveillantes. Voir également l'analyse du domaine et les documents et les sections de shellcode.

• 14757 1155? Viewer ByteCode) - combine plusieurs visionneuses et décompileurs Java ByteCode en un seul outil, y compris la prise en charge APK / DEX.
• ? Firebug - Extension Firefox pour le développement Web.
• Java Decompiler - Décompiler et inspecter les applications Java.
• ? ?? Analyser Java IDX) - Parses Fichiers de cache Java IDX.
• JSDETOX - outil d'analyse de logiciels malveillants JavaScript.
• 163 65? JSUNPACK-N) - Un déballage JavaScript qui émule la fonctionnalité du navigateur.
• 2006 223? Krakatau) - Décompilateur, assembleur et désassembleur de Java.
• MALZILLA - Analyser les pages Web malveillantes.
• 432 92? Rabcdasm) - A "Désassembler bytecode Robust ActionScript".
• ? Investigateur SWF - Analyse statique et dynamique des applications SWF.
• SWFTOOLS - Outils pour travailler avec Adobe Flash Files.
• XXXSWF - Un script Python pour analyser les fichiers flash.

Analyser les JS malveillants et Shellcode à partir des PDF et des documents de bureau. Voir également la section des logiciels malveillants du navigateur.

• 178 41? Analysepdf) - Un outil d'analyse des PDF et de tentative de déterminer s'ils sont malveillants.
• 623 86? Box-JS) - Un outil pour étudier les logiciels malveillants JavaScript, avec une prise en charge JScript / WScript et une émulation ActiveX.
• Distorm - Désassembleur pour analyser le code de coquille malveillante.
• ? Enquête Inspection du fichier profond - Téléchargez des leurres de logiciels malveillants communs pour l'inspection des fichiers profonds et l'analyse heuristique.
• JS Embellissement - Démontage JavaScript et désobfuscation.
• Libemu - Bibliothèque et outils pour l'émulation de shellcode x86.
• 53 16? Malpdfobj) - Déconstruire des PDF malveillants dans une représentation JSON.
• OfficeMalscanner - SCRAY POUR LES TRACHES MALICIEUX DANS LES DOCUMENTS DE BUREAU MS.
• OLEVBA - Un script pour analyser les documents OLE et OpenXML et extraire des informations utiles.
• ? Origami PDF - Un outil d'analyse des PDF malveillants, et plus encore.
• ? Outils PDF - PDFID, PDF-PARSER, et plus de Didier Stevens.
• 35 9? PDF X-Ray Lite) - Un outil d'analyse PDF, la version sans backend de la radiographie PDF.
• PEEPDF - outil Python pour explorer des PDF éventuellement malveillants.
• ? Sands Quicks - Quicks Sand est un cadre C compact pour analyser des documents de logiciels malveillants suspects pour identifier les exploits dans des flux de différents codages et pour localiser et extraire des exécutables embarqués.
• ? Spidermonkey - Moteur JavaScript de Mozilla, pour déboguer les JS malveillants.

Pour extraire des fichiers à l'intérieur des images de disque et de mémoire.

• 1133 192? Bulk_Extractor) - outil de sculpture de fichiers rapide.
• 193 22? EVTXTRAT) - Fichier journal des événements Windows sculpture à partir de données binaires brutes.
• Avant tout - outil de sculpture de fichiers conçu par l'US Air Force.
• 624 69? Hachoir3) - Hachoir est une bibliothèque Python pour afficher et modifier un champ de flux binaire par champ.
• 629 100? Scalpel) - un autre outil de sculpture de données.
• 82 48? Sflock) - Extraction / déballage d'archives imbriquées (utilisé dans le sandbox de coucou).

Inversion des méthodes d'obscurcissement XOR et d'autres code.

• ? Balbuzard - Un outil d'analyse de logiciels malveillants pour inverser l'obscurcissement (XOR, ROL, etc.) et plus encore.
• 7008 2691? DE4DOT) - .NET DEOBFUSCATCHE ET DÉCALLER.
• ex_pe_xor & iheartxor - deux outils d'Alexander Hanel pour travailler avec des fichiers codés XOR à un octet.
• 3352 456? Floss) - Le solveur de chaîne obscurci de FireEye Labs utilise des techniques d'analyse statique avancées pour désobfusquer automatiquement les chaînes de binaires de logiciels malveillants.
• 86 18? Nomorexor) - Devinez une clé XOR de 256 octets en utilisant l'analyse de fréquence.
• 270 72? PackerAttacker) - Un extracteur de code caché générique pour Windows malware.
• 3055 626? Extracteur Pyinstaller) - un script Python pour extraire le contenu d'un fichier exécutable Windows généré par Pyinstaller. Le contenu du fichier PYZ (généralement des fichiers PYC) présente à l'intérieur de l'exécutable est également extrait et fixé automatiquement afin qu'un décompilateur de bytecode Python le reconnaisse.
• ? ?? Uncompyle6) - un décompilateur bytecode python de version cross-version. Traduit des bytecodes python en code source Python équivalent.
• 670 83? Un {i} packer) - Débacker automatique et indépendant de la plate-forme pour les binaires Windows en fonction de l'émulation.
• ? ?? Unpacker) - Automated Malware Unpacker pour Windows Malware Basé sur WinAppDBG.
• ? ?? unxor) - Devinez les touches XOR en utilisant des attaques connues-plaintes.
• 133 24? VirtualDeObFuscator) - outil d'ingénierie inverse pour les emballages de virtualisation.
• XorbruteForcer - Un script Python pour forçage brute des touches XOR à un octet.
• ? Xorsearch & Xorstrings - quelques programmes de Didier Stevens pour trouver des données Xored.
• 1406 173? Xortool) - Devinez la longueur de la clé XOR, ainsi que la clé elle-même.

Désasseurs, débogueurs et autres outils d'analyse statique et dynamique.

• 7659 1088? ANGR) - Framework d'analyse binaire de la plate-forme élaborée au SECLAB d'UCSB.
• ? ?? BAMFDETECT) - Identifie et extrait les informations des bots et autres logiciels malveillants.
• 2081 273? BAP) - Multiplateform et Open Source (MIT) Cadre d'analyse binaire développé au cylab de CMU.
• 1413 168? Barf) - Multiplateform, analyse binaire open source et cadre ingénieur inverse.
• 2878 453? Binnavi) - Analyse binaire IDE pour l'ingénierie inverse basée sur la visualisation du graphique.
• ? Ninja binaire - Une plate-forme d'ingénierie inversée qui est une alternative à IDA.
• 11665 1578? Binwalk) - outil d'analyse du firmware.
• 123 22? BluePill) - Framework pour l'exécution et le débogage des logiciels malveillants évasifs et des exécutables protégés.
• 7693 1562? Capstone) - Framework de démontage pour l'analyse binaire et l'inversion, avec le support de nombreuses architectures et liaisons dans plusieurs langues.
• 44 6? CodeBro) - navigateur de code basé sur le Web utilisant Clang pour fournir une analyse de code de base.
• ? ?? Cutter) - GUI pour Radare2.
• 808 168? DECAF (Framework d'analyse de code exécutable dynamique)) - Une plate-forme d'analyse binaire basée sur QEMU. DroidScope est désormais une extension du décaf.
• 26848 5153? DNSPY) - Éditeur d'assemblage .net, décompilateur et débogueur.
• ? DotPeek - Décompilateur .NET gratuit et navigateur d'assemblage.
• Le débogueur d'Evan (EDB) - un débogueur modulaire avec une GUI QT.
• 2258 194? Fibratus) - outil d'exploration et de traçage du noyau Windows.
• ? FPORT - Rapports ouvre les ports TCP / IP et UDP dans un système en direct et les mappe à l'application propriétaire.
• GDB - Le débogueur GNU.
• 7107 742? GEF) - Fonctionnalités améliorées GDB, pour les exploiteurs et ingénieurs inverses.
• 52649 5953? Ghidra) - Un cadre d'ingénierie inverse du logiciel (SRE) créé et entretenu par la Direction de recherche de l'Agence nationale de sécurité.
• 170 19? Hackers-Grep) - Un utilitaire pour rechercher des chaînes dans les exécutables PE, y compris les importations, les exportations et les symboles de débogage.
• ? Hopper - Le désassembleur macOS et Linux.
• ? IDA PRO - Désassembleur Windows et débogueur, avec une version d'évaluation gratuite.
• 981 226? IDR) - La reconstructrice interactive Delphi est un décompilateur de fichiers exécutables Delphi et de bibliothèques dynamiques.
• Debugger d'immunité - débogueur pour l'analyse des logiciels malveillants et plus encore, avec une API Python.
• Ilspy - Ilspy est le navigateur et décompilateur d'assemblage .NET open source.
• Kaitai Struct - DSL pour les formats de fichiers / protocoles de réseau / structures de données ingénieurs et dissection inverse, avec génération de code pour C ++, C #, Java, JavaScript, Perl, PHP, Python, Ruby.
• ? LIEF - LIEF fournit une bibliothèque multiplateforme pour analyser, modifier et abstraire les formats ELF, PE et macho.
• LTRACE - Analyse dynamique pour les exécutables Linux.
• 85 24? MAC-A-MAL) - Un cadre automatisé pour la chasse aux logiciels malveillants MAC.
• ? Objdump - partie des binutilles GNU, pour l'analyse statique des binaires Linux.
• OLLYDBG - Un débogueur au niveau de l'assembly pour les exécutables Windows.
• ? OLLYDUMPEX - vider la mémoire à partir du processus Windows (déballé) malware et stocker le fichier PE brut ou reconstruit. Il s'agit d'un plugin pour OllyDBG, Immunity Debugger, IDA Pro, WindBG et X64DBG.
• 105 42? PANDA) - Plateforme pour l'analyse dynamique neutre de l'architecture.
• 5915 809? PEDA) - Python Exploit Development Assistance pour GDB, un affichage amélioré avec des commandes ajoutées.
• ? pestudio - effectuer une analyse statique des exécutables Windows.
• 1573 192? Pharos) - Le cadre d'analyse binaire Pharos peut être utilisé pour effectuer une analyse statique automatisée des binaires.
• 3049 276? Plasma) - Désassembleur interactif pour x86 / bras / MIPS.
• ? PPEE (Puppy) - Un explorateur de fichiers PE professionnel pour les inverseurs, les chercheurs de logiciels malveillants et ceux qui souhaitent inspecter statiquement les fichiers PE plus en détail.
• ? Explorateur de processus - Gestionnaire de tâches avancé pour Windows.
• Processus Hacker - Outil qui surveille les ressources système.
• ? Moniteur de processus - outil de surveillance avancé pour les programmes Windows.
• ? PSTools - Outils de ligne de commande Windows qui aident à gérer et à enquêter sur les systèmes en direct.
• 386 95? Pyew) - outil Python pour l'analyse des logiciels malveillants.
• 1657 247? Pyrebox) - Python Strucable Sandbox en ingénierie de revers par l'équipe TALOS de Cisco.
• ? Cadre Qiling - Emulation multiplateforme et cadre de Sanboxing avec des instruments pour l'analyse binaire.
• ? ?? Qkd) - Qemu avec serveur WindBG embarqué pour le débogage furtif.
• RADARE2 - Cadre d'ingénierie inverse, avec support de débogueur.
• ? Regshot - Registre Comparez l'utilitaire qui compare les instantanés.
• ? RETDEC - Décompilateur à code machine recitableable avec un? Service de décompilation en ligne et? API que vous pouvez utiliser dans vos outils.
• 285 42? ROPMEMU) - Un cadre pour analyser, disséquer et décompiler les attaques complexes de code-reutilisation.
• 1128 232? Scylla Imports Reconstructor) - Trouvez et réparez l'IAT d'un logiciel malveillant PE32 déballé / largué.
• 3526 441? SCYLAHIDE) - Une bibliothèque et un plugin anti-anti-debug pour OllyDBG, X64DBG, IDA Pro et TitanEngine.
• 66 15? SMRT) - SUBLIME MALWORED TOLL, un plugin pour Sublime 3 pour aider à des analyses de logiciels malveillants.
• ? Strace - Analyse dynamique pour les exécutables Linux.
• 688 125? StringSifter) - un outil d'apprentissage automatique qui classe automatiquement les chaînes en fonction de leur pertinence pour l'analyse des logiciels malveillants.
• ? Triton - Un cadre d'analyse binaire dynamique (DBA).
• 1029 298? UDIS86) - Bibliothèque et outil de désassembleur pour x86 et x86_64.
• 945 187? Vivisect) - outil Python pour l'analyse des logiciels malveillants.
• ? WindBG - débogueur polyvalent pour le système d'exploitation de l'ordinateur Microsoft Windows, utilisé pour déboguer les applications en mode utilisateur, les pilotes de périphériques et les vidages de mémoire en mode noyau.
• ? ?? X64dbg) - un débogueur open source x64 / x32 pour Windows.

Analyser les interactions du réseau.

• ? Bro - Analyseur de protocole qui fonctionne à une échelle incroyable; Protocoles de fichiers et de réseau.
• 33 5? Broyara) - Utilisez les règles Yara de Bro.
• 714 159? CAPPIPPER) - Explorateur de trafic HTTP malveillant.
• 489 112? Chopshop) - Cadre d'analyse du protocole et de décodage.
• ? CloudShark - outil Web pour l'analyse des paquets et la détection du trafic de logiciels malveillants.
• 1830 364? FAKENET-NG) - outil d'analyse de réseau dynamique de prochaine génération.
• ? Fiddler - Intercepter le proxy Web conçu pour «débogage Web».
• 188 64? Hale) - Botnet C&C Monitor.
• HAKA - un langage orienté vers la sécurité open source pour décrire les protocoles et appliquer des politiques de sécurité sur le trafic capturé (en direct).
• 95 35? Httpreplay) - Library for Saning and Lise Out PCAP Files, y compris les flux TLS à l'aide de Secrets Master TLS (utilisés dans Cuckoo Sandbox).
• INETSIM - Émulation de service réseau, utile lors de la construction d'un laboratoire de logiciels malveillants.
• 743 156? Laika Boss) - Laika Boss est un système d'analyse de logiciels malveillants et d'intrusion centrée sur le fichier.
• 371 60? Malcolm) - Malcolm est une suite d'outils d'analyse de trafic réseau puissante et facilement déployable pour les artefacts de capture de paquets complets (fichiers PCAP) et les journaux de zeek.
• 1160 216? Malcom) - Analyseur de communications malveillants.
• 6660 1105? Maltrail) - Un système de détection de trafic malveillant, en utilisant des listes publiques (noires) contenant des sentiers malveillants et / ou généralement suspects et avec une interface de reporting et d'analyse.
• ? Mitmproxy - Intercepter le trafic réseau à la volée.
• 6442 1045? Moloch) - Système de base de la capture, d'indexation et de base de données IPv4.
• NetworkMiner - Network Forensic Analysis Tool, avec une version gratuite.
• 909 102? Ngrep) - Recherchez dans le trafic réseau comme Grep.
• 345 61? PCAPviz) - Topologie du réseau et visualiseur de trafic.
• 58 13? Python icap yara) - un serveur ICAP avec scanner YARA pour URL ou contenu.
• 78 27? SquidMagic) - SquidMagic est un outil conçu pour analyser un trafic réseau basé sur le Web pour détecter les serveurs centraux de commande et de contrôle (C & C) et des sites malveillants, en utilisant le serveur de Squid Proxy et le spamhaus.
• TCPDUmp - Collectez le trafic réseau.
• TCPICK - TRACH et réassemblez les flux TCP à partir du trafic réseau.
• TCPXtract - Extraire les fichiers du trafic réseau.
• ? Wireshark - L'outil d'analyse du trafic réseau.

Outils pour disséquer les logiciels malveillants dans les images de mémoire ou les systèmes en cours d'exécution.

• ? Blacklight - Client de la criminalistique Windows / MacOS prenant en charge HiberFil, PageFile, analyse de mémoire brute.
• 211 48? Damm) - Analyse différentielle des logiciels malveillants en mémoire, construit sur la volatilité.
• 260 42? Evolve) - Interface Web pour le framework médico-légal de la mémoire de volatilité.
• ? FINDAES - FIND CLIES DE CRYPTION AES en mémoire.
• 281 57? Invtero.net) - Le cadre d'analyse de mémoire à grande vitesse développé dans .NET prend en charge tous les Windows X64, inclut l'intégrité du code et la prise en charge de l'écriture.
• 52 9? Muninn) - un script pour automatiser des parties de l'analyse en utilisant la volatilité et créer un rapport lisible. 226 19? Orochi) - Orochi est un cadre open source pour l'analyse collaborative de vidage de mémoire médico-légale.
• REKALL - Cadre d'analyse de la mémoire, issue de la volatilité en 2013.
• 49 9? TotalRecall) - Script basé sur la volatilité pour automatiser diverses tâches d'analyse de logiciels malveillants.
• 194 50? Voldiff) - Exécutez la volatilité sur les images de mémoire avant et après l'exécution des logiciels malveillants et signalez les modifications.
• 7431 1294? Volatilité) - Framework avancé de médecine de mémoire.
• 381 82? Volutilité) - Interface Web pour le cadre d'analyse de la mémoire de volatilité.
• 621 179? WDBGARK) - Extension anti-ROOTKIT WINDBG.
• ? Windbg - inspection de mémoire en direct et débogage du noyau pour les systèmes Windows.

• 184 29? Achoir) - un script de réponse aux incidents en direct pour la collecte d'artefacts Windows.
• 49 11? Python-evt) - Python Library pour l'analyse des journaux d'événements Windows.
• Python-Registry - Python Library pour l'analyse des fichiers de registre.
• Regripper ( ? github)) - outil d'analyse de registre basé sur ?? plugins.

• 158 53? Aleph) - Système de pipeline d'analyse des logiciels malveillants open source.
• ? Crits - Recherche collaborative sur les menaces, un dépôt de logiciels malveillants et de menaces.
• ? FAME - Un cadre d'analyse de logiciels malveillants avec un pipeline qui peut être étendu avec des modules personnalisés, qui peuvent être enchaînés et interagir les uns avec les autres pour effectuer une analyse de bout en bout.
• 134 43? Malwarehouse) - stocker, tag et rechercher des logiciels malveillants.
• 376 60? Polichombr) - une plate-forme d'analyse de logiciels malveillants conçue pour aider les analystes à inverser les Malwares en collaboration.
• STOQ - Cadre d'analyse de contenu distribué avec une prise en charge du plugin étendue, de l'entrée à la sortie, et tout le reste.
• VIPER - Un cadre de gestion et d'analyse binaire pour les analystes et les chercheurs.

• 6002 1178? Al-Khaser) - Un malware POC avec de bonnes intentions qui ont un temps pour souligner les systèmes anti-malware.
• 39 12? CryptOKnight) - Algorithme cryptographique automatisé Cadre d'ingénierie et de classification.
• 306 59? DC3-MWCP) - Framework Parser de configuration de logiciels malveillants du Cyber ​​Center du Defence.
• 6727 931? Flare VM) - Une distribution de sécurité entièrement personnalisable basée sur Windows pour l'analyse des logiciels malveillants.
• 537 198? MALSPLOITBASE) - Une base de données contenant des exploits utilisés par les logiciels malveillants.
• ? Musée malware - Collection de programmes de logiciels malveillants distribués dans les années 80 et 1990.
• 1 0? Organisateur de logiciels malveillants) - Un outil simple pour organiser de grands fichiers malveillants / bénins dans une structure organisée.
• 3464 467? Pafish) - Paranoid Fish, a demonstration tool that employs several techniques to detect sandboxes and analysis environments in the same way as malware families do.
• ? REMnux - Linux distribution and docker images for malware reverse engineering and analysis.
• ? Tsurugi Linux - Linux distribution designed to support your DFIR investigations, malware analysis and OSINT (Open Source INTelligence) activities.
• ? Santoku Linux - Linux distribution for mobile forensics, malware analysis, and security.

Essential malware analysis reading material.

• ? Learning Malware Analysis - Learning Malware Analysis: Explore the concepts, tools, and techniques to analuze and investigate Windows malware
• ? Malware Analyst's Cookbook and DVD - Tools and Techniques for Fighting Malicious Code.
• ? Mastering Malware Analysis - Mastering Malware Analysis: The complete malware analyst's guide to combating malicious software, APT, cybercime, and IoT attacks
• ? Mastering Reverse Engineering - Mastering Reverse Engineering: Re-engineer your ethical hacking skills
• ? Practical Malware Analysis - The Hands-On Guide to Dissecting Malicious Software.
• ? Practical Reverse Engineering - Intermediate Reverse Engineering.
• ? Real Digital Forensics - Computer Security and Incident Response.
• ? Rootkits and Bootkits - Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats
• ? The Art of Memory Forensics - Detecting Malware and Threats in Windows, Linux, and Mac Memory.
• ? The IDA Pro Book - The Unofficial Guide to the World's Most Popular Disassembler.
• ? The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• 1668 282? APT Notes) - A collection of papers and notes related to Advanced Persistent Threats.
• 964 282? Ember) - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• 10591 742? File Formats posters) - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• ? Malicious Software - Malware blog and resources by Lenny Zeltser.
• ? Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• ? Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• 165 15? Malware Persistence) - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• ? Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• ? Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• 3784 788? RPISEC Malware Analysis) - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• 332 73? Windows Registry specification) - Windows registry file format specification.
• ? /r/csirt_tools - Subreddit for CSIRT tools and resources, with a ? malware analysis flair.
• ? /r/Malware - The malware subreddit.
• ? /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• 8295 1455? Android Security)
• 6387 742? AppSec)
• 9945 1497? CTFs)
• 1233 107? Executable Packing)
• 4039 632? Forensics)
• 13362 1556? "Piratage")
• 8757 1267? Honeypots)
• 1658 438? Industrial Control System Security)
• 7751 1537? Incident-Response)
• 5229 739? Infosec)
• 3149 466? PCAP Tools)
• 22166 4493? Pentesting)
• 12586 1938? Sécurité)
• 8246 1499? Threat Intelligence)
• 3608 495? YARA)

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Merci!

12101 2585? rshipp/awesome-malware-analysis)