fucking awesome malware analysis

Uma lista com curadoria de impressionantes ferramentas e recursos de análise de malware. Inspirado em 228609 25039? Awesome-python) e 31110 5080? Awesome-php).

• Coleção de malware
  • Anonimizadores
  • Honeypots
  • Malware corpora
• Inteligência de ameaça de código aberto
  • Ferramentas
  • Outros recursos
• Detecção e classificação
• Scanners e caixas de areia online
• Análise de domínio
• Malware do navegador
• Documentos e código shell
• Escultura de arquivos
• Deobfuscation
• Depuração e engenharia reversa
• Rede
• Memória forense
• Artefatos do Windows
• Armazenamento e fluxo de trabalho
• Variado
• Recursos
  • Livros
  • Outro
• Listas incríveis relacionadas
• Contribuindo
• Obrigado

Veja a tradução chinesa: 恶意软件分析大合集 ​​.md.

Anonimizadores de tráfego da Web para analistas.

• Anonymouse.org - um anonimizador baseado na Web gratuito.
• ? OpenVPN - Software VPN e soluções de hospedagem.
• Privoxy - Um servidor proxy de código aberto com alguns recursos de privacidade.
• ? Tor - o roteador de cebola, para navegar na web sem deixar traços do IP do cliente.

Belte e colete suas próprias amostras.

• 1261 417? CONPOT) - ICS/SCADA Honeypot.
• 5271 903? Cowrie) - SSH Honeypot, baseado em Kippo.
• 61 12? Demohunter) - Baixa interação distribuída Honeypots.
• 718 184? Dionaea) - Honeypot projetado para prender malware.
• 565 168? GLASTOPF) - Web Application Honeypot.
• Honeyd - Crie um HoneyNet virtual.
• ? HoneyDrive - Distro Linux do pacote Honeypot.
• 1230 174? Honeytrap) - Sistema OpenSource para executar, monitorar e gerenciar honeypots.
• 2440 631? MHN) - MHN é um servidor centralizado para gerenciamento e coleta de dados de honeypots. MHN permite implantar sensores rapidamente e coletar dados imediatamente, visualizados a partir de uma interface da Web arrumada.
• 46 39? MNemosyne) - um normalizador para dados do honeypot; Apoia Dionaea.
• 998 203? Bandido) - Baixa interação honeyclient, para investigar sites maliciosos.

Amostras de malware coletadas para análise.

• MX limpo - banco de dados em tempo real de malware e domínios maliciosos.
• CONTAGIO - Uma coleção de amostras e análises recentes de malware.
• ? Banco de dados Explorar - Amostras de exploração e código de shell.
• ? Infosec - Cert -PA - Coleção e análise de amostras de malware.
• ? Laboratórios de Inquérito - Corpus pesquisável eterno de documentos maliciosos da Microsoft.
• 686 238? Javascript Mallware Collection) - Coleção de quase 40.000 amostras de malware JavaScript
• ? Malpedia - um recurso que fornece identificação rápida e contexto acionável para investigações de malware.
• ? Malshare - Grande repositório de malware descartado ativamente de sites maliciosos.
• 94 25? Ragpicker) - rastreador de malware baseado em plug -in com funcionalidades pré -análise e relatórios
• 11438 2532? theZoo) - amostras de malware ao vivo para analistas.
• Tracker H3X - AGREGATOR PARA MALUESSO RATRAGEM E SITES maliciosos de download.
• ? ?? VDUDDU malware repo) - Coleção de vários arquivos de malware e código -fonte.
• ? VIRUSBAY - Repositório de malware baseado na comunidade e rede social.
• VIRUSIGN - Banco de dados de malware que detectou por muitos programas anti -malware, exceto CLAMAV.
• ? VIRUSSHARE - repositório de malware, registro necessário.
• VX Vault - Coleção ativa de amostras de malware.
• ? Fontes de Zeltser - Uma lista de fontes de amostra de malware montadas por Lenny Zeltser.
• 1427 697? Código -fonte Zeus) - Fonte do Zeus Trojan vazou em 2011.
• VX Underground - coleção maciça e crescente de amostras gratuitas de malware.

Colhe e analise as IOCs.

• 122 18? AbsousHelper) - Uma estrutura de código aberto para receber e redistribuir feeds de abuso e ameaça Intel.
• ? AlienVault Open Threat Exchange - Compartilhar e colaborar no desenvolvimento de inteligência de ameaças.
• 657 171? Combine) - ferramenta para reunir indicadores de inteligência de ameaças de fontes publicamente disponíveis.
• 119 25? FileIntel) - Puxe Inteligência por arquivo Hash.
• 265 51? HostIntel) - puxe a inteligência por host.
• ? IntelMQ - Uma ferramenta para certificados para processamento de dados de incidentes usando uma fila de mensagens.
• ? Editor do IOC - um editor gratuito para arquivos XML IOC.
• 513 91? iocextract) - Indicador avançado de extrator de compromisso (IOC), biblioteca Python e ferramenta de linha de comando.
• 201 61? IOC_Writer) - Biblioteca Python para trabalhar com objetos Openioc, da Mandiant.
• 104 24? MALPIPE) - MOTOR DE INGESTION E PROCESSÃO DE MALware/IOC, que enriquece dados coletados.
• 228 60? Spice maciço de octo) - anteriormente conhecido como CIF (estrutura de inteligência coletiva). Agregados IOCs de várias listas. Com curadoria da fundação CSIRT Gadgets.
• 5449 1416? MISP) - Plataforma de compartilhamento de informações sobre malware com curadoria pelo projeto MISP.
• ? Pulsediva-plataforma de inteligência de ameaças gratuita e orientada pela comunidade, coletando COI de feeds de código aberto.
• 18 7? Pyioce) - Um editor do Python Openioc.
• ? Riskiq - Pesquise, conecte, marque e compartilhe IPS e domínios. (Foi passivetotal.)
• 80 27? AmeakaGregreator) - agrega ameaças à segurança de várias fontes, incluindo algumas das listadas abaixo em outros recursos.
• ? AmeaksConnect - O TC Open permite que você veja e compartilhe dados de ameaças de código aberto, com suporte e validação de nossa comunidade gratuita.
• ? AmeakCrowd - Um mecanismo de pesquisa por ameaças, com visualização gráfica.
• ? ?? Ameaçador) - Construa Pipelines Intel de ameaças automatizadas fornecimento de Twitter, RSS, Github e muito mais.
• 66 13? AmeakTracker) - Um script Python para monitorar e gerar alertas com base nos IOCs indexados por um conjunto de mecanismos de pesquisa personalizados do Google.
• 173 43? Testest Tiq) - Visualização de dados e análise estatística de feeds de inteligência de ameaças.

Inteligência de ameaças e recursos do COI.

• ? AutoShun? lista) - plug -in e lista de blocos.
• Feeds de consultoria de Bambenek - Feeds OSINT com base em algoritmos DGA maliciosos.
• ? Fidelis Barncat - Banco de dados de configuração de malware extenso (deve solicitar acesso).
• CI Exército (Lista) - Listas de bloqueios de segurança de rede.
• ? Mercado Intel Free Intel de pilha crítica - Agregador da Intel gratuito com desduplicação com mais de 90 feeds e mais de 1,2 milhão de indicadores.
• Tracker de CyberCrime - rastreador ativo de botnet múltiplo.
• 465 117? FIREEYE IOCS) - Indicadores de compromisso compartilhados publicamente por Fireeye.
• ? Listas de IP de Firehol - Analytics para mais de 350 listas de IP, com foco em ataques, malware e abuso. Evolução, História de mudanças, mapas de país, idade de IPS listados, política de retenção, sobreposições.
• ? HoneyDB - Coleta e agregação de dados do sensor de mel de Honeypot, com comunidade.
• 213 110? HPFeeds) - Protocolo de alimentação Honeypot.
• ? Infosec - listas de certificação? IPS -? Domínios -? URLS) - Serviço de lista de bloqueio.
• ? Inquérito REPDB - Agregação contínua de COI de uma variedade de fontes de reputação aberta.
• ? Inquérito IOCDB - Agregação contínua de COI de vários blogs, repositórios do GitHub e Twitter.
• ? Internet Storm Center (DShield) - Diário e banco de dados de incidentes pesquisáveis, com uma web? API. ( 29 13? Biblioteca Python não oficial).
• MALC0DE - Banco de dados de incidentes pesquisáveis.
• Lista de domínio de malware - Pesquise e compartilhe URLs maliciosos.
• ? Feed de inteligência de ameaças Metadefender - Lista dos hashes de arquivos mais procurados da Metadefender Cloud.
• ? Openioc - estrutura para compartilhar a inteligência de ameaças.
• ? Inteligência de ameaças de ProofPoint - Regras e muito mais. (Ameaças anteriormente emergentes.)
• ? Visão geral do ransomware - Uma lista da visão geral do ransomware com detalhes, detecção e prevenção.
• STIX - Expressão de informações sobre ameaças estruturadas - linguagem padronizada para representar e compartilhar informações de ameaças cibernéticas. Esforços relacionados de? MITRA:
  • Cappec - Enumeração e classificação do padrão de ataque comum
  • Cybox - Expressão de observáveis ​​cibernéticos
  • MAEC - Enumeração e caracterização de atributos de malware
  • Taxii - Troca automatizada confiável de informações indicadoras
• ? SystemLookup - O SystemLookup hospeda uma coleção de listas que fornecem informações sobre os componentes de programas legítimos e potencialmente indesejados.
• ? AmeaMMiner - Portal de mineração de dados para inteligência de ameaças, com pesquisa.
• ? Threatrecon - Pesquise indicadores, até 1000 grátis por mês.
• ? Ameakshare - rastreador de painel C2
• 4218 1008? Regras yara) - repositório de regras de yara.
• 1769 294? Yeti) - Yeti é uma plataforma destinada a organizar observáveis, indicadores de compromisso, TTPs e conhecimento sobre ameaças em um único repositório unificado.
• ? Zeus Tracker - Listas de bloqueios de Zeus.

Antivírus e outras ferramentas de identificação de malware

• 204 35? Analyzepe) - Wrapper para uma variedade de ferramentas para relatar os arquivos do Windows PE.
• ? Sistema de Análise de Triação e Malware de Triagem de Arquivos e Malware, integrando as melhores ferramentas da Comunidade de Segurança Cibernética.
• 1416 186? Binaryalert) - Um pipeline AWS sem servidor de código aberto que verifica e alerta em arquivos carregados com base em um conjunto de regras YARA.
• 4973 567? CAPA) - detecta recursos em arquivos executáveis.
• Chkrootkit - Detecção local de rootkit Linux.
• CLAMAV - motor antivírus de código aberto.
• 7842 738? Detectá -lo fácil (DIE)) - Um programa para determinar tipos de arquivos.
• Exeinfo PE - Packer, detector de compressores, despacho informações, ferramentas internas de EXE.
• ? EXIFIOL - Leia, escreva e edite metadados do arquivo.
• 290 49? Estrutura de varredura de arquivos) - Solução modular e recursiva de varredura de arquivos.
• 1573 192? FN2YARA) - O FN2YARA é uma ferramenta para gerar assinaturas YARA para funções correspondentes (código) em um programa executável.
• 1 0? Analisador de arquivos genéricos) - Um único analisador da biblioteca para extrair meta -informação, análise estática e detectar macros dentro dos arquivos.
• 718 132? hashdeep) - Calcule hashes Digest com uma variedade de algoritmos.
• 1777 195? HASHCHECK) - Extensão do shell do Windows para calcular hashes com uma variedade de algoritmos.
• 3429 585? Loki) - Scanner baseado em host para IOCs.
• 192 35? Funcional) - Cataloge e compare malware em um nível de função.
• 1025 161? Manalyze) - Analisador estático para executáveis ​​de PE.
• 176 40? Mastiff) - Estrutura de análise estática.
• 618 125? Multiscanner) - Estrutura de varredura/análise modular
• 533 80? Detector de Arquivos Nauz (NFD)) - Linker/Compiler/Detector de Ferramentas para Windows, Linux e MacOS.
• 112 10? NSRLLOOKUP) - Uma ferramenta para procurar hashes no banco de dados da biblioteca de referência de software nacional do NIST.
• 42 9? PackerId) - Uma alternativa Python de plataforma cruzada ao PEID.
• ? Ferramenta de reversão de PE -Bear - para arquivos PE.
• 612 139? PEFRAME) - O PEFRAME é uma ferramenta de código aberto para realizar análises estáticas em malware executável portátil e documentos maliciosos do MS Office.
• PEV - Um kit de ferramentas multiplataforma para trabalhar com arquivos PE, fornecendo ferramentas ricas em recursos para uma análise adequada de binários suspeitos.
• 499 95? PORTEX) - Biblioteca Java para analisar arquivos PE com foco especial na análise de malware e robustez de malformação de PE.
• 1344 170? Quark-Engine)-Um sistema de pontuação de malware Android Ofuscation-Neglect Android
• ROOTKIT HUNTER - Detecte o Rootkits Linux.
• ? SSDEEP - Calcule hashes difusos.
• ? TotalHash.py - Script Python para facilitar a pesquisa do? Totalhash.cymru.com Banco de dados.
• Trid - identificador de arquivo.
• ? Yara - ferramenta de correspondência de padrões para analistas.
• 1577 282? Yara Regras Generator) - Gere regras YARA com base em um conjunto de amostras de malware. Também contém um bom db de cordas para evitar falsos positivos.
• 2 0? Yara Finder) - Uma ferramenta simples para Yara corresponde ao arquivo com várias regras YARA para encontrar os indicadores de suspeita.

Scanners multi-AV baseados na Web e caixas de areia de malware para análise automatizada.

• ? ANLYZ.IO - Sandbox online.
• ? Any.Run - Sandbox interativo on -line.
• ? Andrototal - Análise on -line gratuita de APKs contra vários aplicativos antivírus móveis.
• 237 38? Boombox) - Implantação automática do Laboratório de Malware de Cuckoo Sandbox usando o Packer e o Vagrant.
• Cryptam - Analise documentos suspeitos do escritório.
• ? Sandbox Cuckoo - código aberto, caixa de areia auto -hospedada e sistema de análise automatizada.
• 271 100? Cuco -modificado) - versão modificada do Cuckoo Sandbox lançado sob a GPL. Não se fundiu a montante devido a preocupações legais do autor.
• 22 7? API-API modificada por cuco)-Uma API de Python usada para controlar uma caixa de areia modificada por cucos.
• ? Analisador de arquivos DeepViz-Multi-Format com classificação de aprendizado de máquina.
• ? ?? Detux) - Uma caixa de areia desenvolvida para fazer a análise de tráfego de malwares Linux e captura de COI.
• 1076 255? Drakvuf) - Sistema dinâmico de análise de malware.
• ? FileScan.io - Análise de malware estático, emulação VBA/PowerShell/VBS/JS
• Firmware.re - Deseppacione, digitaliza e analisa quase qualquer pacote de firmware.
• 734 220? HABOMALHUNTER) - Uma ferramenta automatizada de análise de malware para arquivos Linux ELF.
• ? Análise Híbrida - Ferramenta de Análise de Malware Online, alimentada pelo VXSandBox.
• ? Intezer - Detectar, analisar e categorizar malware, identificando a reutilização do código e as semelhanças de código.
• IRMA - Uma plataforma de análise assíncrona e personalizável para arquivos suspeitos.
• ? Joe Sandbox - Análise de malware profundo com Joe Sandbox.
• ? Jotti - Scanner multi -AV online gratuito.
• 390 115? Limon) - Sandbox para analisar malware Linux.
• 369 101? Malheur) - Análise automática de caixa de areia do comportamento de malware.
• 1658 270? Malice.io) - Estrutura de análise de malware massivamente escalável.
• 368 80? MALSUB) - Uma estrutura de API Python RESTful para serviços de análise de malware e URL on -line.
• ? Configuração de malware - Extrair, decodificar e exibir on -line as configurações de configuração de malwares comuns.
• ? MalwareAnalyser.io - Analisador estático baseado em anomalias de malware on -line com mecanismo de detecção heurística alimentado pela mineração de dados e aprendizado de máquina.
• ? Malwr - Análise gratuita com uma instância de sandbox de cuco on -line.
• ? Metadefender Cloud - Digitalize um arquivo, hash, ip, URL ou endereço de domínio para malware gratuitamente.
• ? NetworkTotal - Um serviço que analisa arquivos PCAP e facilita a rápida detecção de vírus, vermes, trojans e todos os tipos de malware usando o Suricata configurado com os emergentes Pro.
• 1133 222? Noriben) - usa a SysInternals Procmon para coletar informações sobre malware em um ambiente de caixa de areia.
• ? Packettotal - Packettotal é um mecanismo on -line para analisar arquivos .pcap e visualizar o tráfego de rede dentro.
• PDF Examiner - Analise arquivos PDF suspeitos.
• PROCDOT - Um kit de ferramenta de análise gráfica de malware.
• 130 39? Recomposer) - Um script auxiliar para carregar com segurança binários para sites de sandbox.
• 138 40? SANDBOXAPI) - Biblioteca Python para construir integrações com várias caixas de areia de código aberto e de malware comercial.
• 817 104? Veja) - O ambiente de execução da caixa de areia (ver) é uma estrutura para a criação de automação de testes em ambientes seguros.
• ? Análise de conta -gotas Sekoia - análise de conta -gotas on -line (JS, VBScript, Microsoft Office, PDF).
• ? Virustotal - Análise on -line gratuita de amostras de malware e URLs
• 139 30? Visualize_logs) - Biblioteca de visualização de código aberto e ferramentas de linha de comando para logs. (Cuco, Procmon, mais por vir ...)
• ? Lista de Zeltser - caixas e serviços automatizados gratuitos, compilados por Lenny Zeltser.

Inspecione domínios e endereços IP.

• ? AbusoIPDB - Abusopdb é um projeto dedicado a ajudar a combater a disseminação de hackers, spammers e atividades abusivas na Internet.
• ? Badips.com - Serviço de lista negra de IP baseada na comunidade.
• 38 6? Boomerang) - Uma ferramenta projetada para captura consistente e segura de recursos da Web fora da rede.
• ? Cymon - Rastreador de inteligência de ameaças, com pesquisa de IP/domínio/hash.
• Desenmascara.me - uma ferramenta de um clique para recuperar o máximo de metadados possível para um site e avaliar sua boa posição.
• ? DIG - DIG on -line gratuito e outras ferramentas de rede.
• 4957 777? Dnstwist) - Motor de permutação de nome de domínio para detectar agachamento, phishing e espionagem corporativa.
• 100 24? Ipinfo) - Reúna informações sobre um IP ou domínio pesquisando recursos on -line.
• 505 101? MACHINAE) - Ferramenta OSINT para coletar informações sobre URLs, IPs ou hashes. Semelhante ao Automator.
• 1655 258? MailChecker) - Biblioteca de detecção de email temporária em linguagem cruzada.
• 80 22? Maltegovt) - Maltego Transform para a API Virustotal. Permite pesquisas de domínio/IP e procurar hashes de arquivos e relatórios de digitalização.
• Multi RBL - Múltipla lista de Blacklist e DNS confirmou a pesquisa DNS reversa em mais de 300 RBLs.
• ? NormShield Services - Serviços de API gratuitos para detectar possíveis domínios de phishing, endereços IP na lista negra e contas violadas.
• ? Phishstats - Phishing Statistics com pesquisa por IP, domínio e título do site
• ? Spyse - subdomínios, whois, domínios reais, DNS, hospedeiros como, SSL/TLS Info,
• ? SecurityTrails - WHOIS histórico e atual, registros históricos e atuais de DNS, domínios semelhantes, informações de certificação e outros domínios e API e ferramentas relacionadas à IP.
• ? SpamCop - Lista de blocos de spam baseada em IP.
• ? Spamhaus - Lista de blocos com base em domínios e IPs.
• ? Sucuri Sitecheck - Malware de site gratuito e scanner de segurança.
• ? Intelligence Talos - Pesquise IP, domínio ou proprietário de rede. (Anteriormente sendebase.)
• TEKDEFENSEN AUTOMATER - Ferramenta OSINT para coletar informações sobre URLs, IPs ou hashes.
• ? URLHAUS - Um projeto da abuso.
• URLQUERY - Scanner de URL gratuito.
• ? UrlScan.io - Informações gratuitas sobre o Scanner e o domínio.
• ? Whois - Domaintools Online Whois Pesquisa.
• ? Lista de Zeltser - Ferramentas on -line gratuitas para pesquisar sites maliciosos, compilados por Lenny Zeltser.
• ? Zular Zulu - Analisador de Risco de URL Zulu.

Analisar URLs maliciosos. Consulte também a análise de domínio e os documentos e as seções do código de shell.

• 14757 1155? Visualizador de bytecode) - combina vários visualizadores de bytecode Java e descompiladores em uma ferramenta, incluindo suporte APK/DEX.
• ? Firebug - Extensão do Firefox para o Desenvolvimento da Web.
• Java Decompiler - Decompilar e inspecionar aplicativos Java.
• ? ?? Java IDX Parser) - Paresia arquivos de cache Java IDX.
• JSDETOX - Ferramenta de análise de malware JavaScript.
• 163 65? JSUNPACK -N) - Um desempacoteiro JavaScript que emula a funcionalidade do navegador.
• 2006 223? KRAKATAU) - Java Decompiler, Assembler e Desmontingbler.
• Malzilla - Analise páginas da Web maliciosas.
• 432 92? RABCDASM) - Um "robusto ActionScript bytecode Desmontingbler".
• ? Investigador SWF - Análise estática e dinâmica de aplicações SWF.
• Swftools - Ferramentas para trabalhar com arquivos do Adobe Flash.
• XXXSWF - Um script python para analisar arquivos flash.

Analise o JS e o código de shell maliciosos a partir de PDFs e documentos do escritório. Veja também a seção de malware do navegador.

• 178 41? Analyzepdf) - Uma ferramenta para analisar PDFs e tentar determinar se eles são maliciosos.
• 623 86? Box -JS) - Uma ferramenta para estudar malware JavaScript, com suporte ao JScript/WScript e emulação do ActiveX.
• Distorm - Desmontador para analisar o código de shell malicioso.
• ? Inquérito de inspeção de arquivos profunda - Upload de iscas de malware comuns para inspeção profunda de arquivos e análise heurística.
• JS Beautifier - DeSpacoção de JavaScript e Deobfuscation.
• Libemu - Biblioteca e ferramentas para a emulação de código de shell x86.
• 53 16? malpdfobj) - desconstruir PDFs maliciosos em uma representação JSON.
• OFFICEMALSCANNER - Digitam traços maliciosos em documentos do MS Office.
• OLEVBA - Um script para analisar documentos OLE e OpenXML e extrair informações úteis.
• ? Origami PDF - Uma ferramenta para analisar PDFs maliciosos e muito mais.
• ? Ferramentas em PDF - PDFID, PDF -PARSER e muito mais de Didier Stevens.
• 35 9? PDF-RAY LITE)-Uma ferramenta de análise PDF, a versão sem back-end do raio-x PDF.
• PEEPDF - Ferramenta Python para explorar PDFs possivelmente maliciosos.
• ? PASSA DO PASSA - A areia movediça é uma estrutura C compacta para analisar documentos suspeitos de malware para identificar explorações em fluxos de diferentes codificações e localizar e extrair executáveis ​​incorporados.
• ? Spidermonkey - Motor JavaScript de Mozilla, para depurar JS malicioso.

Para extrair arquivos de imagens internas de disco e memória.

• 1133 192? Bulk_extractor) - Ferramenta de escultura de arquivo rápida.
• 193 22? EVTXTRATE) - Escreva arquivos de log de eventos do Windows a partir de dados binários brutos.
• Em primeiro lugar - ferramenta de escultura de arquivos projetada pela Força Aérea dos EUA.
• 624 69? Hachoir3) - Hachoir é uma biblioteca Python para visualizar e editar um campo de fluxo binário por campo.
• 629 100? Scalpel) - Outra ferramenta de escultura de dados.
• 82 48? Sflock) - Extração/descompacagem de arquivamento aninhada (usado na caixa de areia de cuco).

Os métodos reversos de XOR e outros métodos de ofuscação de código.

• ? BALBUZARD - Uma ferramenta de análise de malware para reversão de ofuscação (XOR, ROL, etc.) e muito mais.
• 7008 2691? DE4DOT) - .NET DEOBFUSCATOR E DESPOLHER.
• EX_PE_XOR & IHEARTXOR - Duas ferramentas de Alexander Hanel para trabalhar com arquivos codificados por bytes únicos.
• 3352 456? FLOSS) - O solucionador de cordas ofuscou o FireEye Labs usa técnicas avançadas de análise estática para desviar automaticamente as cordas de binários de malware.
• 86 18? Nomorexor) - Adivinhe uma chave de 256 byte xor usando análise de frequência.
• 270 72? Packerattacker) - Um extrator de código oculto genérico para malware do Windows.
• 3055 626? Extrator PyInstaller) - Um script Python para extrair o conteúdo de um arquivo executável do Windows gerado por pyinstaller. O conteúdo do arquivo PYZ (geralmente arquivos PYC) presente dentro do executável também são extraídos e corrigidos automaticamente, para que um decompilador de bytecode python o reconheça.
• ? ?? Uncompyle6) - Um decompilador de bytecode Python version. Traduz Python bytecode de volta ao código -fonte equivalente do Python.
• 670 83? un {i} packer) - Unpacker automático e independente da plataforma para binários do Windows com base na emulação.
• ? ?? Unpacker) - Descongelagem de malware automatizada para malware do Windows com base no WinAppDBG.
• ? ?? UNXOR) - Adivinhe as teclas XOR usando ataques de planagem conhecido.
• 133 24? VirtualDeObfuscator) - Ferramenta de engenharia reversa para invólucros de virtualização.
• XORBRUTEFORCER - Um script python para forçando as teclas de byte single -byte.
• ? Xorsearch & Xorstrings - Alguns programas da Didier Stevens para encontrar dados Xored.
• 1406 173? Xortool) - Adivinhe o comprimento da chave xor, bem como a própria chave.

Desmontadores, depuradores e outras ferramentas de análise estática e dinâmica.

• 7659 1088? ANGR) - Estrutura de análise binária agnóstica da plataforma desenvolvida no Seclab da UCSB.
• ? ?? BAMFDETECT) - identifica e extrai informações de bots e outros malware.
• 2081 273? BAP) - Estrutura binária de análise binária multiplataforma e de código aberto (MIT) desenvolvido no cylab da CMU.
• 1413 168? BARF) - Análise binária multiplataforma, de código aberto e estrutura de engenharia reversa.
• 2878 453? Binnavi) - Análise binária IDE para engenharia reversa com base na visualização de gráficos.
• ? Ninja binário - Uma plataforma de engenharia de reversão que é uma alternativa à IDA.
• 11665 1578? Binwalk) - Ferramenta de análise de firmware.
• 123 22? Bluepill) - Estrutura para executar e depurar malware evasivo e executáveis ​​protegidos.
• 7693 1562? Capstone) - Estrutura de desmontagem para análise binária e reversão, com suporte para muitas arquiteturas e ligações em vários idiomas.
• 44 6? CodeBro) - navegador de código baseado na Web usando o CLANG para fornecer análise básica de código.
• ? ?? Cortador) - GUI para Radue2.
• 808 168? DECAF (estrutura dinâmica de análise de código executável)) - Uma plataforma de análise binária baseada no Qemu. Droidscope agora é uma extensão para o descafeinado.
• 26848 5153? DNSPY) - Editor de Assembléia .NET, decompilador e depurador.
• ? DOTPEEK - Decompilador .NET gratuito e navegador de montagem.
• Depurador de Evan (EDB) - Um depurador modular com uma GUI QT.
• 2258 194? Fibratus) - ferramenta para exploração e rastreamento do kernel do Windows.
• ? FPORT - Relatórios Abra as portas TCP/IP e UDP em um sistema ao vivo e as mapeia para o aplicativo próprio.
• GDB - O depurador GNU.
• 7107 742? GEF) - Recursos aprimorados do GDB, para exploradores e engenheiros reversos.
• 52649 5953? GHIDRA) - Uma estrutura de engenharia reversa de software (SRE) criada e mantida pela Diretoria de Pesquisa da Agência de Segurança Nacional.
• 170 19? Hackers -Grep) - Um utilitário para procurar strings em executáveis ​​de PE, incluindo importações, exportações e símbolos de depuração.
• ? Hopper - o MacOS e o Linux desmontador.
• ? IDA Pro - Windows Desmonting and Debugger, com uma versão de avaliação gratuita.
• 981 226? IDR) - O Reconstrutor Delphi Interactive é um decompilador de arquivos executáveis ​​Delphi e bibliotecas dinâmicas.
• Depurador da Imunidade - Debugger para análise de malware e muito mais, com uma API Python.
• Ilspy - Ilspy é o navegador de montagem .NET de código aberto .NET.
• Kaitai Struct - DSL para formatos de arquivo / protocolos de rede / estruturas de dados engenharia e dissecção reversa, com geração de código para C ++, C#, Java, JavaScript, Perl, Php, Python, Ruby.
• ? Lief - Lief fornece uma biblioteca de plataformas cruzadas para analisar, modificar e abstrair elfos, PE e formatos machos.
• LTRACE - Análise dinâmica para executáveis ​​do Linux.
• 85 24? MAC-A-MAL)-Uma estrutura automatizada para a caça aos malware Mac.
• ? Objdump - Parte dos binutils GNU, para análise estática de binários Linux.
• Ollydbg - Um depurador de nível de montagem para executáveis ​​do Windows.
• ? OLLYDUMPEX - DUMP MEMÓRIA DO PROCESSO DE MALware (Unpacked) e armazenará o arquivo PE bruto ou reconstruído. Este é um plugin para Ollydbg, depurador de imunidade, Ida Pro, Windbg e X64DBG.
• 105 42? Panda) - Plataforma para análise dinâmica neutra em arquitetura.
• 5915 809? Peda) - Assistência ao Desenvolvimento de Exploração Python para o GDB, uma tela aprimorada com comandos adicionados.
• ? Pestudio - Execute a análise estática dos executáveis ​​do Windows.
• 1573 192? Pharos) - A estrutura de análise binária Pharos pode ser usada para realizar análises estáticas automatizadas de binários.
• 3049 276? Plasma) - Desmontador interativo para x86/braço/mips.
• ? PPEE (Puppy) - Um explorador profissional de arquivos PE para reversores, pesquisadores de malware e aqueles que desejam inspecionar estaticamente os arquivos PE com mais detalhes.
• ? Process Explorer - Gerenciador de tarefas avançado para Windows.
• Hacker de processo - ferramenta que monitora os recursos do sistema.
• ? Monitor de processos - Ferramenta de monitoramento avançado para programas Windows.
• ? PSTOOLS - Ferramentas de linha de comando do Windows que ajudam a gerenciar e investigar sistemas ao vivo.
• 386 95? Pyew) - Ferramenta Python para análise de malware.
• 1657 247? Pyrebox) - Python Sandbox de engenharia reversa scriptable pela equipe Talos da Cisco.
• ? QILING Framework - Estrutura de emulação de plataforma cruzada e SanBoxing com instrumentos para análise binária.
• ? ?? Qkd) - qemu com servidor Windbg incorporado para depuração furtiva.
• RATARE2 - Estrutura de engenharia reversa, com suporte ao depurador.
• ? Regshot - Registro Compare o utilitário que compara instantâneos.
• ? Retdec - Decompilador de código de máquina retargetável com um? Serviço de decomposição online e? API que você pode usar em suas ferramentas.
• 285 42? ROPMEMU) - Uma estrutura para analisar, dissecar e descompilar ataques complexos de reluimento de código.
• 1128 232? Reconstrutor de importações de Scylla) - Encontre e corrija o IAT de um malware PE32 despacado / despejado.
• 3526 441? Scyllahide)-Uma biblioteca e plug-in anti-anti-debug para ollydbg, x64dbg, Ida Pro e TitaNEngine.
• 66 15? SMRT) - Sublime Malware Research Tool, um plug -in para sublime 3 para ajudar na análise de malware.
• ? Strace - Análise dinâmica para executáveis ​​do Linux.
• 688 125? Stringsifter) - Uma ferramenta de aprendizado de máquina que classifica automaticamente seqüências baseadas em sua relevância para a análise de malware.
• ? Triton - Uma estrutura de análise binária dinâmica (DBA).
• 1029 298? UDIS86) - Biblioteca e ferramenta desmontadores para x86 e x86_64.
• 945 187? Vivisect) - Ferramenta Python para análise de malware.
• ? Windbg - Depurador multiuso para o sistema operacional Microsoft Windows Computer, usado para depurar aplicativos de modo de usuário, drivers de dispositivo e despejos de memória do modo de kernel.
• ? ?? X64DBG) - Um depurador X64/X32 de código aberto para Windows.

Analise as interações de rede.

• ? BRO - Analisador de protocolo que opera em escala incrível; protocolos de arquivo e rede.
• 33 5? Broyara) - Use regras YARA de Bro.
• 714 159? Captipper) - Explorador de tráfego HTTP malicioso.
• 489 112? CHOPSHOP) - Análise de protocolo e estrutura de decodificação.
• ? CloudShark - ferramenta baseada na Web para análise de pacotes e detecção de tráfego de malware.
• 1830 364? Fakenet -NG) - Ferramenta de análise de rede dinâmica da próxima geração.
• ? Fiddler - interceptar o proxy da web projetado para "depuração da web".
• 188 64? Hale) - Monitor de botnet C&C.
• HAKA - Uma linguagem orientada para a segurança de código aberto para descrever protocolos e aplicar políticas de segurança no tráfego capturado (ao vivo).
• 95 35? Httpreplay) - Biblioteca para analisar e ler arquivos PCAP, incluindo fluxos TLS usando segredos mestre do TLS (usados ​​no Cuckoo Sandbox).
• Inetsim - Emulação de serviço de rede, útil ao criar um laboratório de malware.
• 743 156? LAIKA BOSS) - Laika Boss é um sistema de análise de malware centrado em arquivo e detecção de intrusões.
• 371 60? MALCOLM) - Malcolm é um suíte de ferramenta de análise de tráfego de rede poderoso e facilmente implantável para artefatos de captura de pacotes completos (arquivos PCAP) e logs Zeek.
• 1160 216? Malcom) - Analisador de comunicações de malware.
• 6660 1105? MALTRAIL) - Um sistema de detecção de tráfego malicioso, utilizando listas publicamente disponíveis (Black) contendo trilhas maliciosas e/ou geralmente suspeitas e apresentando uma interface de relatórios e análise.
• ? MITMPROXY - Interceptar o tráfego de rede em tempo real.
• 6442 1045? MOLOCH) - Sistema de captura, indexação e banco de dados IPv4.
• NetworkMiner - Ferramenta de análise forense de rede, com uma versão gratuita.
• 909 102? NGREP) - Pesquise no tráfego de rede como Grep.
• 345 61? PCAPVIZ) - Topologia de rede e visualizador de tráfego.
• 58 13? Python ICAP Yara) - Um servidor ICAP com scanner Yara para URL ou conteúdo.
• 78 27? Squidmagic) - Squidmagic é uma ferramenta projetada para analisar um tráfego de rede baseado na Web para detectar servidores de comando e controle central (C&C) e sites maliciosos, usando o Squid Proxy Server e o Spamhaus.
• TCPDUMP - Colete tráfego de rede.
• TCPICK - Trach e remonta os fluxos TCP do tráfego de rede.
• TCPXTRATE - Extrair arquivos do tráfego de rede.
• ? Wireshark - a ferramenta de análise de tráfego de rede.

Ferramentas para dissecar malware em imagens de memória ou sistemas em execução.

• ? Blacklight - Cliente Windows/MacOS Forensics que suporta Hiberfil, PageFile, Análise de memória bruta.
• 211 48? Damam) - Análise diferencial de malware na memória, construída com volatilidade.
• 260 42? Evoluir) - Interface da Web para a estrutura forense da memória de volatilidade.
• ? FindAES - Encontre as teclas de criptografia AES na memória.
• 281 57? InvestTero.net) - A estrutura de análise de memória de alta velocidade desenvolvida no .NET suporta todos os Windows X64, inclui integridade de código e suporte de gravação.
• 52 9? MUNINN) - Um script para automatizar partes da análise usando volatilidade e criar um relatório legível. 226 19? Orochi) - Orochi é uma estrutura de código aberto para análise colaborativa de despejo de memória forense.
• Rekall - estrutura de análise de memória, bifurcada da volatilidade em 2013.
• 49 9? TOTALRECALL) - Script com base na volatilidade para automatizar várias tarefas de análise de malware.
• 194 50? Voldiff) - Execute volatilidade nas imagens da memória antes e após a execução de malware e relate alterações.
• 7431 1294? Volatilidade) - Estrutura forense de memória avançada.
• 381 82? Volutilidade) - Interface da Web para estrutura de análise de memória de volatilidade.
• 621 179? WDBGARK) - Extensão anti -rootkit de Windbg.
• ? Windbg - Inspeção de memória ao vivo e depuração do kernel para sistemas Windows.

• 184 29? ACHOIR) - Um script de resposta a incidentes ao vivo para reunir artefatos do Windows.
• 49 11? Python -EVT) - Biblioteca Python para analisar logs de eventos do Windows.
• Python -Registry - Biblioteca Python para analisar arquivos de registro.
• REGRIPPRIPPRIPPER ?? ?

• 158 53? Aleph) - Sistema de pipeline de análise de malware de código aberto.
• ? CRITS - Pesquisa colaborativa sobre ameaças, um malware e repositório de ameaças.
• ? Fama-Uma estrutura de análise de malware com um pipeline que pode ser estendido com módulos personalizados, que podem ser encadeados e interagir entre si para realizar análises de ponta a ponta.
• 134 43? Malwarehouse) - Armazene, tag e pesquise malware.
• 376 60? POLICHOMBR) - Uma plataforma de análise de malware projetada para ajudar os analistas a reverter os malwares em colaboração.
• STOQ - Estrutura de análise de conteúdo distribuída com suporte extenso do plug -in, da entrada à saída e tudo mais.
• Viper - Uma estrutura de gerenciamento e análise binária para analistas e pesquisadores.

• 6002 1178? AL-KHASER)-Um malware POC com boas intenções que apagam os sistemas anti-malware.
• 39 12? CryptoKnight) - Algoritmo criptográfico automatizado Framework de engenharia e classificação reversa.
• 306 59? DC3 -MWCP) - A estrutura do analisador de configuração de malware do Centro Cibernético de Defesa.
• 6727 931? Flare VM) - Uma distribuição de segurança totalmente personalizável, baseada em Windows para análise de malware.
• 537 198? MalsploitBase) - Um banco de dados contendo explorações usadas por malware.
• ? Museu de Malware - Coleção de programas de malware que foram distribuídos nas décadas de 1980 e 1990.
• 1 0? Organizador de Malware) - Uma ferramenta simples para organizar grandes arquivos maliciosos/benignos em uma estrutura organizada.
• 3464 467? Pafish) - Paranoid Fish, a demonstration tool that employs several techniques to detect sandboxes and analysis environments in the same way as malware families do.
• ? REMnux - Linux distribution and docker images for malware reverse engineering and analysis.
• ? Tsurugi Linux - Linux distribution designed to support your DFIR investigations, malware analysis and OSINT (Open Source INTelligence) activities.
• ? Santoku Linux - Linux distribution for mobile forensics, malware analysis, and security.

Essential malware analysis reading material.

• ? Learning Malware Analysis - Learning Malware Analysis: Explore the concepts, tools, and techniques to analuze and investigate Windows malware
• ? Malware Analyst's Cookbook and DVD - Tools and Techniques for Fighting Malicious Code.
• ? Mastering Malware Analysis - Mastering Malware Analysis: The complete malware analyst's guide to combating malicious software, APT, cybercime, and IoT attacks
• ? Mastering Reverse Engineering - Mastering Reverse Engineering: Re-engineer your ethical hacking skills
• ? Practical Malware Analysis - The Hands-On Guide to Dissecting Malicious Software.
• ? Practical Reverse Engineering - Intermediate Reverse Engineering.
• ? Real Digital Forensics - Computer Security and Incident Response.
• ? Rootkits and Bootkits - Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats
• ? The Art of Memory Forensics - Detecting Malware and Threats in Windows, Linux, and Mac Memory.
• ? The IDA Pro Book - The Unofficial Guide to the World's Most Popular Disassembler.
• ? The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• 1668 282? APT Notes) - A collection of papers and notes related to Advanced Persistent Threats.
• 964 282? Ember) - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• 10591 742? File Formats posters) - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• ? Malicious Software - Malware blog and resources by Lenny Zeltser.
• ? Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• ? Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• 165 15? Malware Persistence) - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• ? Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• ? Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• 3784 788? RPISEC Malware Analysis) - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• 332 73? Windows Registry specification) - Windows registry file format specification.
• ? /r/csirt_tools - Subreddit for CSIRT tools and resources, with a ? malware analysis flair.
• ? /r/Malware - The malware subreddit.
• ? /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• 8295 1455? Android Security)
• 6387 742? AppSec)
• 9945 1497? CTFs)
• 1233 107? Executable Packing)
• 4039 632? Forensics)
• 13362 1556? "Hacking")
• 8757 1267? Honeypots)
• 1658 438? Industrial Control System Security)
• 7751 1537? Incident-Response)
• 5229 739? Infosec)
• 3149 466? PCAP Tools)
• 22166 4493? Pentesting)
• 12586 1938? Segurança)
• 8246 1499? Threat Intelligence)
• 3608 495? YARA)

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Obrigado!

12101 2585? rshipp/awesome-malware-analysis)