fucking awesome malware analysis

精心策划的令人敬畏的恶意软件分析工具和资源清单。受228609 25039?很棒的python）和31110 5080?很棒的php）。

• 恶意软件收集
  • 匿名者
  • 蜜罐
  • 恶意软件公司
• 开源威胁情报
  • 工具
  • 其他资源
• 检测和分类
• 在线扫描仪和沙箱
• 域分析
• 浏览器恶意软件
• 文档和外壳
• 文件雕刻
• DEOBFUSCATION
• 调试和反向工程
• 网络
• 内存取证
• 窗户工件
• 存储和工作流程
• 各种各样的
• 资源
  • 图书
  • 其他
• 相关的很棒列表
• 贡献
• 谢谢

查看中文翻译：恶意软件分析大合集.md。

分析师的网络流量匿名者。

• Anonymouse.org-一个免费的基于Web的匿名器。
• ？ OpenVPN- VPN软件和托管解决方案。
• Privoxy-具有某些隐私功能的开源代理服务器。
• ？ tor-洋葱路由器，用于浏览网络而不留下客户端IP的痕迹。

陷阱并收集自己的样品。

• 1261 417? Conpot）-ICS/SCADA Honeypot。
• 5271 903? Cowrie）-SSH Honeypot，基于Kippo。
• 61 12? Demohunter） - 低相互作用分布的蜜罐。
• 718 184? Dionaea） - 蜜罐旨在捕获恶意软件。
• 565 168? GLASTOPF） - Web应用程序Honeypot。
• Honeyd-创建虚拟蜜网。
• ？ HoneyDrive -Honeypot Bundle Linux发行版。
• 1230 174? Honeytrap） - 用于运行，监视和管理蜜罐的OpenSource系统。
• 2440 631? MHN） - MHN是用于管理和数据收集蜜罐的集中式服务器。 MHN允许您快速部署传感器并立即收集数据，可从整洁的Web界面查看。
• 46 39? mnemosyne） - 蜜罐数据的标准器；支持Dionaea。
• 998 203?暴徒） - 低相互作用的蜂蜜，用于调查恶意网站。

收集的恶意软件样本进行分析。

• 清洁MX-恶意软件和恶意域的实时数据库。
• CONTAGIO-最近的恶意软件样本和分析集。
• ？利用数据库 - 利用和壳牌码样本。
• ？ Infosec -CERT -PA-恶意软件样本收集和分析。
• ？询问实验室 - 恶意Microsoft文档的可搜索语料库。
• 686 238? JavaScript mallware Collection） - 近40.000 JavaScript恶意软件样本的收集
• ？ MALPEDIA-一种资源，可为恶意软件调查提供快速识别和可操作的环境。
• ？ Malshare-恶意软件的大型存储库积极从恶意网站取消。
• 94 25? ragpicker） - 基于插件的恶意软件桥梁，具有预分析和报告功能
• 11438 2532? thezoo） - 分析师的实时恶意软件样本。
• Tracker H3X-恶意软件Corpus Tracker和恶意下载网站。
• ? ?? VDUDDU恶意软件存储库） - 各种恶意软件文件和源代码的收集。
• ？病毒贝 - 基于社区的恶意软件存储库和社交网络。
• 病毒 - 恶意软件数据库，除Clamav以外，许多反恶意软件程序都检测到。
• ？ Virusshare-恶意软件存储库，需要注册。
• VX Vault-恶意软件样本的主动收集。
• ？ Zeltser的消息来源 - Lenny Zeltser汇总的恶意软件样本来源列表。
• 1427 697?宙斯源代码） - 宙斯特洛伊木马的来源在2011年泄漏。
• VX Underground-大量的免费恶意软件样品集合。

收获和分析IOC。

• 122 18?滥用者） - 接收和重新分配滥用供稿和威胁英特尔的开源框架。
• ？ Alienvault开放威胁交换 - 共享和合作发展威胁情报。
• 657 171?结合） - 从公开可用来源收集威胁情报指标的工具。
• 119 25? FileIntel） - 每个文件哈希绘制智能。
• 265 51? HOSTINTEL） - 每个主机拉力智能。
• ？ IntelMQ-使用消息队列处理事件数据的证书工具。
• ？ IOC编辑器 - XML IOC文件的免费编辑器。
• 513 91? iocextract） - 妥协（IOC）提取器，python库和命令行工具的高级指标。
• 201 61? ioc_writer） - Python库，用于使用Mandiant的OpenIOC对象。
• 104 24? MALPIPE） - 恶意软件/IOC摄入和处理引擎，丰富了收集的数据。
• 228 60?巨大的Octo Spice） - 以前称为CIF（集体智能框架）。来自各个列表的汇总IOC。由CSIRT小工具基金会策划。
• 5449 1416? MISP） - MISP项目策划的恶意软件信息共享平台。
• ？脉动 - 免费，由社区驱动的威胁情报平台从开源供稿中收集IOC。
• 18 7? PYIOCE） - Python OpenIOC编辑。
• ？ RISKIQ-研究，连接，标记和共享IP和域。 （是用光的。）
• 80 27? thealtaggregator） - 汇总了许多来源的安全威胁，包括以下其他资源中列出的一些来源。
• ？威胁连接-TC Open可让您在免费社区的支持和验证下查看和共享开源威胁数据。
• ？威胁性 - 具有图形可视化的威胁搜索引擎。
• ? ??威胁者） - 从Twitter，RSS，Github等建立自动威胁英特尔管道。
• 66 13? thealtracker） - 一个Python脚本，可根据IOC进行监视和生成一组Google自定义搜索引擎索引的警报。
• 173 43? TIQ检验） - 威胁智能提要的数据可视化和统计分析。

威胁情报和IOC资源。

• ？ Autoshun？列表）-nort插件和排名列表。
• BAMBENEK咨询提要 - 基于恶意DGA算法的OSINT提要。
• ？ Fidelis Barncat-广泛的恶意软件配置数据库（必须请求访问）。
• CI军（列表） - 网络安全区块列表。
• ？关键的堆栈 - 免费英特尔市场 - 免费的Intel聚合器，具有90多个供稿和超过120万个指标的重复数据删除。
• 网络犯罪跟踪器 - 多个僵尸网络活动跟踪器。
• 465 117? FireEye IOC） - FireEye公开共享的折衷指标。
• ？ Firehol IP列表 - 350多个IP列表的分析，重点是攻击，恶意软件和滥用。进化，改变历史，国家地图，列出的IPS年龄，保留政策，重叠。
• ？ HoneyDB-社区驱动的Honeypot传感器数据收集和聚合。
• 213 110? HPFEEDS） - 蜜罐饲料方案。
• ？ Infosec -CERT -PA列表？ ips-？域 - ？ URLS） - 排列服务。
• ？询问RepDB-来自各种开放声誉来源的IOC连续汇总。
• ？询问IOCDB-来自各种博客，GitHub Repos和Twitter的IOC连续汇总。
• ？互联网风暴中心（DShield） - 带有网络的日记和可搜索的事件数据库？ API。 （ 29 13?非官方的Python库））。
• MALC0DE-可搜索的事件数据库。
• 恶意软件域列表 - 搜索和共享恶意URL。
• ？ MetadeFender威胁智能供稿 - 来自MetadeFender Cloud的最高查找文件列表。
• ？ OpenIOC-共享威胁情报的框架。
• ？证明威胁情报 - 规则集等。 （以前是新兴威胁。）
• ？勒索软件概述 - 勒索软件概述列表，其中包含详细信息，检测和预防。
• Stix-结构化威胁信息表达式 - 标准化语言以表示和共享网络威胁信息。相关的工作？ MITER：
  • CAPEC-公共攻击模式枚举和分类
  • Cybox-网络可观察表达式
  • MAEC-恶意软件属性枚举和表征
  • 出租车 - 可信自动交换指标信息
• ？ SystemLookup -SystemLookup托管了一系列列表，这些列表提供了有关合法和潜在不需要程序的组件的信息。
• ？威胁者 - 威胁智能的数据挖掘门户，并进行搜索。
• ？ Threatrecon-搜索指标，每月最多免费。
• ？威胁卖出-C2面板跟踪器
• 4218 1008? Yara规则）-Yara规则存储库。
• 1769 294? Yeti） - Yeti是一个平台，旨在组织一个统一存储库中的威胁，妥协，TTP的指标，TTP和知识的指标。
• ？宙斯追踪器 - 宙斯区块列表。

防病毒和其他恶意软件识别工具

• 204 35? Analyzepe） - 包装器，用于在Windows PE文件上报告各种工具。
• ？ AssemblyLine-可扩展的文件分类和恶意软件分析系统集成了网络安全社区的最佳工具。
• 1416 186? binaryAlert） - 一个开源的无服务器AWS管道，该管道根据一组Yara规则扫描和警报上传文件。
• 4973 567? CAPA） - 检测可执行文件中的功能。
• Chkrootkit-本地Linux rootkit检测。
• Clamav-开源防病毒发动机。
• 7842 738?检测它简单（DIE）） - 用于确定文件类型的程序。
• 外观PE-包装器，压缩机检测器，拆卸信息，内部EXE工具。
• ？ Exiftool-读取，写和编辑文件元数据。
• 290 49?文件扫描框架） - 模块化的递归文件扫描解决方案。
• 1573 192? FN2YARA） - FN2YARA是一种在可执行程序中生成Yara签名（代码）的工具。
• 1 0?通用文件解析器） - 单个库解析器，用于提取元信息，静态分析和检测文件中的宏。
• 718 132? hashdeep） - 使用多种算法计算摘要哈希。
• 1777 195? Hashcheck） - Windows Shell Extension，以使用多种算法计算哈希。
• 3429 585? LOKI） - 基于主机的IOC扫描仪。
• 192 35?故障） - 目录并比较功能级别的恶意软件。
• 1025 161? Manalyze） - PE可钉的静态分析仪。
• 176 40? MASTIFF） - 静态分析框架。
• 618 125? MultisCanner） - 模块化文件扫描/分析框架
• 533 80? NAUZ文件检测器（NFD）） - Windows，Linux和MacOS的Linker/Compiler/tool detecter。
• 112 10? nsrllookup） - 一种用于查找NIST国家软件参考库数据库中哈希的工具。
• 42 9? PACKERID） - PEID的跨平台Python替代品。
• ？ PE -BEAR- PE文件的反向工具。
• 612 139? PEFRAME） - PEFRAME是一种开源工具，可以对便携式可执行恶意软件和恶意MS Office文档进行静态分析。
• PEV-一个用于使用PE文件的乘法工具包，提供了适当分析可疑二进制文件的功能丰富的工具。
• 499 95? PORTEX） - Java库分析PE文件，特别关注恶意软件分析和PE畸形鲁棒性。
• 1344 170? Quark-engine） - 混淆 - 否定的Android恶意软件评分系统
• Rootkit Hunter-检测Linux rootkit。
• ？ SSDeep-计算模糊哈希。
• ？ totalhash.py- python脚本，用于轻松搜索？ totalhash.cymru.com数据库。
• TRID-文件标识符。
• ？ Yara-分析师的模式匹配工具。
• 1577 282? Yara规则生成器） - 基于一组恶意软件样本生成Yara规则。还包含一个良好的字符串DB，以避免误报。
• 2 0? YARA FINDER） - YARA与文件与各种Yara规则相匹配的简单工具，以找到怀疑的指标。

基于Web的多AV扫描仪和恶意软件沙箱，用于自动分析。

• ？ anlyz.io-在线沙箱。
• ？ any.run-在线交互式沙箱。
• ？ Andrototal-针对多个移动防病毒应用程序的APK的免费在线分析。
• 237 38? Boombox） - 使用Packer和Vagrant自动部署杜鹃沙盒恶意软件实验室。
• 加密 - 分析可疑的办公文件。
• ？杜鹃花盒 - 开源，自托管沙箱和自动分析系统。
• 271 100?杜鹃修饰） - 在GPL下发布的杜鹃沙盒的修改版。由于作者的法律问题，没有在上游合并。
• 22 7?杜鹃 - 修饰-API） - 用于控制杜鹃修饰的沙盒的Python API。
• ？ DeepViz-具有机器学习分类的多格式文件分析仪。
• ? ?? DETUX） - 开发了用于进行Linux Malwares和捕获IOC的交通分析的沙盒。
• 1076 255? DRAKVUF） - 动态恶意软件分析系统。
• ？ filescan.io-静态恶意软件分析，vba/powershell/vbs/js仿真
• 固件 - 拆卸，扫描和分析几乎所有固件软件包。
• 734 220? HABOMALHUNTER） - Linux Elf文件的自动化恶意软件分析工具。
• ？混合分析 - 在线恶意软件分析工具，由VXSANDBOX提供支持。
• ？ Intezer-通过识别代码重复使用和代码相似性来检测，分析和分类恶意软件。
• IRMA-可疑文件的异步和可自定义的分析平台。
• ？ Joe Sandbox-带有Joe Sandbox的深层恶意软件分析。
• ？ Jotti-免费的在线多AV扫描仪。
• 390 115? Limon） - 用于分析Linux恶意软件的沙箱。
• 369 101? MALHEUR） - 恶意软件行为的自动沙盒分析。
• 1658 270? MALICE.IO） - 大规模可扩展的恶意软件分析框架。
• 368 80? MALSUB） - 用于在线恶意软件和URL分析服务的Python Restful API框架。
• ？恶意软件配置 - 提取，解码和在线显示配置设置，从普通恶意软件中进行。
• ？ Malwareanalyser.io-在线基于恶意软件异常分析仪，具有启发式检测引擎，由数据挖掘和机器学习提供动力。
• ？ MALWR-通过在线杜鹃沙盒实例的免费分析。
• ？ MetadeFender Cloud-免费的恶意软件扫描文件，哈希，IP，URL或域地址。
• ？ NetworkTotal-使用配备有新兴atherats Pro的Suricata来分析PCAP文件并促进病毒，蠕虫，特洛伊木马和各种恶意软件的快速检测。
• 1133 222? NORIBEN） - 使用Sysinternals Procmon在沙盒环境中收集有关恶意软件的信息。
• ？ PACKETTOTAL -PACKETTOTAL是用于分析.pcap文件的在线引擎，并可视化其中的网络流量。
• PDF审查员 - 分析可疑PDF文件。
• Procdot-图形恶意软件分析工具套件。
• 130 39? Recomposer） - 一个安全脚本，用于安全地将二进制文件上传到沙盒站点。
• 138 40? SandBoxapi） - Python库，用于建立多个开源和商业恶意软件沙盒的集成。
• 817 104?请参阅） - 沙盒执行环境（请参阅）是在有担保环境中构建测试自动化的框架。
• ？ Sekoia滴管分析 - 在线滴管分析（JS，VBScript，Microsoft Office，PDF）。
• ？ Virustotal-恶意软件样品和URL的免费在线分析
• 139 30? Visualize_logs） - 开源可视化库和日志命令行工具。 （杜鹃，procmon，还有更多...）
• ？ Zeltser的列表 - Lenny Zeltser编辑的免费自动沙盒和服务。

检查域和IP地址。

• ？ Baushipdb -AbaudiPDB是一个致力于帮助互联网上黑客，垃圾邮件发送者和滥用活动的项目。
• ？ BADIPS.com-基于社区的IP黑名单服务。
• 38 6? Boomerang） - 一种工具，旨在一致，安全地捕获OFF网络Web资源。
• ？ Cymon-威胁智能跟踪器，具有IP/域/哈希搜索。
• DESENMASCARA.ME-一键单击的工具，可以检索尽可能多的元数据，以评估其良好的信誉。
• ？挖掘 - 免费的在线挖掘和其他网络工具。
• 4957 777? DNSTWIST） - 用于检测错别字蹲，网络钓鱼和公司间谍活动的域名置换引擎。
• 100 24? IPINFO） - 通过搜索在线资源来收集有关IP或域的信息。
• 505 101? Machinae） - OSINT工具，用于收集有关URL，IPS或HASHES的信息。类似于Automator。
• 1655 258? MailChecker） - 跨语言临时电子邮件检测库。
• 80 22? Maltegovt）-Maltego为Virustotal API转换。允许域/IP研究，并搜索文件哈希和扫描报告。
• 多RBL-多个DNS黑名单和前进确认的反向DNS查找超过300个RBL。
• ？ Normshield服务 - 免费的API服务，用于检测可能的网络钓鱼域，黑名单的IP地址和违反帐户。
• ？网络组织 - 搜索IP，域和网站标题的网络钓鱼统计数据
• ？ Spyse-子域，WHOIS，REALTED域，DNS，主机为SSL/TLS信息，
• ？ SecurityTrails-历史和当前WHOI，历史和当前DNS记录，相似域，证书信息以及其他域以及与IP相关的API和工具。
• ？ SPAMCOP-基于IP的垃圾邮件块列表。
• ？ Spamhaus-基于域和IP的块列表。
• ？ Sucuri Sitecheck-免费网站恶意软件和安全扫描仪。
• ？ Talos Intelligence-搜索IP，域或网络所有者。 （以前的senderbase。）
• Tekdefense Automater- OSINT工具，用于收集有关URL，IPS或HASHES的信息。
• ？ Urlhaus-一个来自abus.ch的项目，目的是共享用于恶意软件发行的恶意URL。
• URLQUERY-免费URL扫描仪。
• ？ URLSCAN.IO-免费的URL扫描仪和域信息。
• ？哇 - Domaintools免费在线搜索。
• ？ Zeltser的列表 - Lenny Zeltser编辑的有关恶意网站的免费在线工具。
• ？ Zscalar Zulu -Zulu URL风险分析仪。

分析恶意网址。另请参见域分析以及文档和壳牌座部分。

• 14757 1155? Bytecode Viewer） - 将多个Java字节码查看器和分解器组合到一个工具中，包括APK/DEX支持。
• ？ Firebug-用于网络开发的Firefox扩展。
• Java分解器 - 反编译和检查Java应用程序。
• ? ?? Java IDX解析器） - 解析Java IDX缓存文件。
• JSDETOX- JAVASCRIPT恶意软件分析工具。
• 163 65? Jsunpack -n） - 模拟浏览器功能的JavaScript解纸牌。
• 2006 223? Krakatau）-Java分解器，汇编器和拆卸器。
• Malzilla-分析恶意网页。
• 432 92? rabcdasm） - “强大的动作字节串联拆卸器”。
• ？ SWF研究者 - SWF应用的静态和动态分析。
• swftools-用于使用Adobe Flash文件的工具。
• XXXSWF-用于分析闪存文件的Python脚本。

分析PDF和办公文件中的恶意JS和ShellCode。另请参见“浏览器恶意软件”部分。

• 178 41? AnalyzePDF） - 一种用于分析PDF的工具，并试图确定它们是否是恶意的。
• 623 86? BOX -JS） - 用于研究JavaScript恶意软件的工具，具有JScript/WScript支持和ActiveX仿真。
• Distorm-分析恶意外壳的拆卸器。
• ？查询深度文件检查 - 上传常见的恶意软件诱饵，以进行深度文件检查和启发式分析。
• JS Beautifier- JavaScript解开和DEOBFUSCATION。
• Libemu- X86壳码仿真的库和工具。
• 53 16? MALPDFOBJ） - 将恶意PDF解构为JSON表示。
• OfficeMalsCanner-扫描MS Office文档中的恶意痕迹。
• Olevba-用于解析OLE和OPENXML文档并提取有用信息的脚本。
• ？折纸PDF-一种用于分析恶意PDF的工具，等等。
• ？ PDF工具 - PDFID，PDF -Parser等来自Didier Stevens。
• 35 9? PDF X射线Lite） - PDF分析工具，PDF X射线的无后端版本。
• PEEPDF-用于探索可能是恶意PDF的Python工具。
• ？ QuickSand -QuickSand是一个紧凑的C框架，可分析可疑的恶意软件文档，以识别不同编码流中的利用，并找到和提取嵌入式的可执行文件。
• ？ Spidermonkey- Mozilla的JavaScript引擎，用于调试恶意JS。

用于从内部磁盘和内存图像中提取文件。

• 1133 192? bulk_extractor） - 快速文件雕刻工具。
• 193 22? evtxtract） - 从原始二进制数据中雕刻Windows事件日志文件。
• 首先 - 由美国空军设计的文件雕刻工具。
• 624 69? Hachoir3） - Hachoir是一个python库，可以通过字段查看和编辑二进制流。
• 629 100?手术刀） - 另一个数据雕刻工具。
• 82 48? sflock） - 嵌套的存档提取/解开包装（在杜鹃沙盒中使用）。

反向XOR和其他代码混淆方法。

• ？ Balbuzard-一种用于逆转混淆（XOR，ROL等）等的恶意软件分析工具等。
• 7008 2691? de4dot） - .NET DEOBFUSCATOR和UNWACKACKER。
• EX_PE_XOR和IHEARTXOR- Alexander Hanel的两个工具用于使用单字节XOR编码文件。
• 3352 456? FLOSS） - FireEye Labs混淆的字符串求解器使用先进的静态分析技术来自动从恶意软件二进制文件中脱离碰撞字符串。
• 86 18? Nomorexor） - 使用频率分析猜测256字节XOR键。
• 270 72? PackerAttacker） - Windows恶意软件的通用隐藏代码提取器。
• 3055 626? PyInstaller Defactor） - 一个Python脚本，用于提取Pyinstaller生成的Windows可执行文件的内容。还会提取并自动修复了可执行文件中存在的PYZ文件（通常是PYC文件）的内容（通常是PYC文件），以便Python bytecode exompiler可以识别它。
• ? ?? uncompyle6） - 交叉python字节码分解器。将Python字节码转换回等效的Python源代码。
• 670 83? Un {i} Packer） - 基于仿真的Windows二进制文件的自动和平台独立的拆卸器。
• ? ??拆卸器） - 基于WinAppDBG的Windows恶意软件的自动化恶意软件。
• ? ?? UNXOR） - 使用已知的plaintext攻击猜测XOR密钥。
• 133 24? VirtualDeoBfuscator） - 虚拟化包装器的逆向工程工具。
• Xorbruteforcer-野蛮的python脚本强迫单字节Xor键。
• ？ Xorsearch＆Xorsrings-来自Didier Stevens的几个程序，用于查找Xored数据。
• 1406 173? Xortool） - 猜测XOR密钥长度以及密钥本身。

拆卸器，调试器和其他静态和动态分析工具。

• 7659 1088? ANGR） - 在UCSB的seclab开发的平台 - 不足的二进制分析框架。
• ? ?? BAMFDetect） - 从机器人和其他恶意软件中识别和提取信息。
• 2081 273? BAP） - 在CMU Cylab上开发的乘以开源和开源（MIT）二进制分析框架。
• 1413 168? BARF） - 多平台，开源二进制分析和逆向工程框架。
• 2878 453? Binnavi） - 基于图形可视化的逆向工程的二元分析IDE。
• ？二进制忍者 - 一个反向工程平台，是IDA的替代品。
• 11665 1578? Binwalk） - 固件分析工具。
• 123 22? BluePill） - 用于执行和调试回避恶意软件和受保护可执行文件的框架。
• 7693 1562? CAPSTONE） - 用于二进制分析和逆转的拆卸框架，并支持多种语言的许多架构和绑定。
• 44 6? CodeBro） - 基于Web的代码浏览器使用Clang提供基本代码分析。
• ? ??刀具）-GUI用于RADARE2。
• 808 168? DECAF（动态可执行代码分析框架）） - 基于QEMU的二进制分析平台。 DroidScope现在已成为Decaf的扩展。
• 26848 5153? DNSpy） - .NET组装编辑，分解器和调试器。
• ？ dotpeek-免费.NET分解器和组装浏览器。
• Evan的调试器（EDB） - 带有QT GUI的模块化调试器。
• 2258 194? Fibratus） - 用于探索和跟踪Windows内核的工具。
• ？ FPORT-在实时系统中报告打开TCP/IP和UDP端口，并将其映射到拥有应用程序。
• GDB- GNU调试器。
• 7107 742? GEF）-GDB增强功能，用于剥削者和反向工程师。
• 52649 5953? GHIDRA） - 由国家安全局研究局创建和维护的软件逆向工程（SRE）框架。
• 170 19? hackers -grep） - 搜索PE可执行文件中的字符串的实用性，包括导入，导出和调试符号。
• ？霍珀 - MacOS和Linux拆卸器。
• ？ IDA Pro- Windows拆卸器和调试器，并提供免费评估版本。
• 981 226? IDR） - Interactive Delphi重建器是Delphi可执行文件和动态库的分解器。
• 免疫调试器 - 恶意软件分析的调试器以及其他python API。
• ILSPY -ILSPY是开源.NET组件浏览器和反合式的。
• kaitai struct -DSL用于文件格式 /网络协议 /数据结构反向工程和解剖，以及用于C ++，C＃，Java，Java，JavaScript，Perl，Perl，Php，Php，Python，Python，Ruby的代码生成。
• ？ Lief- Lief提供了一个跨平台库来解析，修改和抽象精灵，PE和MACHO格式。
• Ltrace- Linux可执行文件的动态分析。
• 85 24? MAC-A-MAL） - MAC恶意软件狩猎的自动框架。
• ？ objdump- gnu binutils的一部分，用于静态分析Linux二进制文件。
• OLLYDBG-用于Windows可执行文件的组装级调试器。
• ？ OLLYDUMPEX-（未包装的）恶意软件处理过程中的转储内存，并存储RAW或REBUILD PE文件。这是用于OLLYDBG，免疫调试器，IDA PRO，WINDBG和X64DBG的插件。
• 105 42?熊猫） - 建筑与中立动态分析平台。
• 5915 809? PEDA） - Python为GDB开发开发帮助，这是一个增强的显示，并带有添加命令。
• ？ PESTUDIO-执行Windows可执行文件的静态分析。
• 1573 192? Pharos） - Pharos二进制分析框架可用于对二进制的自动静态分析。
• 3049 276?等离子体） - X86/ARM/MIPS的交互式拆卸器。
• ？ PPEE（Puppy） - 一个专业的PE文件资源管理器，用于逆转者，恶意软件研究人员以及想要更详细地检查PE文件的人。
• ？流程资源管理器 - Windows的高级任务管理器。
• 过程黑客 - 监视系统资源的工具。
• ？流程监视器 - Windows程序的高级监视工具。
• ？ PSTools- Windows命令行工具，可帮助管理和调查实时系统。
• 386 95? PYEW） - 恶意软件分析工具。
• 1657 247? pyrebox）-Cisco Talos Team的Python可拼写的反向工程沙盒。
• ？ QILILE框架 - 跨平台仿真和sANBOXING框架，带有二进制分析的仪器。
• ? ?? QKD） - 带有嵌入式WindBG服务器的QEMU进行隐形调试。
• Radare2-逆向工程框架，并提供调试器支持。
• ？ Regshot-注册表比较比较快照的实用程序。
• ？ retdec-可重新定位的机器代码分解器与AN？在线解说服务？您可以在工具中使用的API。
• 285 42? ROPMEMU） - 一个框架，用于分析，解剖和反编译复杂的代码复制攻击。
• 1128 232? Scylla Imports重建器） - 查找并修复未包装 /倾倒PE32恶意软件的IAT。
• 3526 441? Scyllahide） - Ollydbg，X64DBG，IDA Pro和Titanengine的反式驱动图书馆和插件。
• 66 15? SMRT） - 崇高的恶意软件研究工具，用于辅助恶意软件分析的Sublime 3的插件。
• ？ strace- Linux可执行文件的动态分析。
• 688 125? Stringsifter） - 一种机器学习工具，可以根据其与恶意软件分析的相关性自动对字符串进行排名。
• ？ Triton-动态二进制分析（DBA）框架。
• 1029 298? UDIS86） - X86和X86_64的拆卸器库和工具。
• 945 187? Vivisect） - 恶意软件分析的Python工具。
• ？ WINDBG- Microsoft Windows计算机操作系统的多功能调试器，用于调试用户模式应用程序，设备驱动程序和内核模式内存转储。
• ? ?? X64DBG） - Windows的开源X64/X32调试器。

分析网络交互。

• ？ BRO-协议分析仪，以令人难以置信的规模运行；文件和网络协议。
• 33 5? Broyara） - 使用兄弟的Yara规则。
• 714 159? Captipper） - 恶意HTTP交通资源管理器。
• 489 112? Chopshop） - 协议分析和解码框架。
• ？ CloudShark-基于Web的工具，用于数据包分析和恶意软件流量检测。
• 1830 364? Fakenet -NG） - 下一代动态网络分析工具。
• ？提琴手 - 拦截专为“ Web调试”设计的Web代理。
• 188 64? Hale）-Botnet C＆C监视器。
• HAKA-一种以开源安全为导向的语言，用于描述协议并应用（LIVE）捕获的流量的安全策略。
• 95 35? httpreplay） - 用于解析和读取PCAP文件的库，包括使用TLS Master Secrets（在杜鹃花盒中使用）的TLS流。
• Inetsim-网络服务仿真，构建恶意软件实验室时有用。
• 743 156? Laika Boss） - Laika Boss是一个以文件为中心的恶意软件分析和入侵检测系统。
• 371 60? MALCOLM） - MALCOLM是一个功能强大的，易于部署的网络流量分析工具套件，用于完整的数据包捕获工件（PCAP文件）和Zeek日志。
• 1160 216? Malcom） - 恶意软件通信分析仪。
• 6660 1105? MALTRAIL） - 一种恶意的交通检测系统，利用包含恶意和/或通常可疑步道的公开列表（黑色）列表，并具有报告和分析界面。
• ？ MITMProxy-即时拦截网络流量。
• 6442 1045? MOLOCH）-IPv4流量捕获，索引和数据库系统。
• NetworkMiner-免费版本的网络法医分析工具。
• 909 102? NGREP） - 通过GREP等网络流量进行搜索。
• 345 61? PCAPVIZ） - 网络拓扑和流量可视化器。
• 58 13? Python ICAP Yara） - 带有Yara扫描仪的ICAP服务器，用于URL或内容。
• 78 27? SquidMagic） - SquidMagic是一种工具，旨在分析基于Web的网络流量，以使用Squid Proxy Server和Spamhaus来检测Central Command and Control（C＆C）服务器和恶意站点。
• TCPDUMP-收集网络流量。
• TCPICK-网络流量中的Trach和ReasemerTCP流。
• tcpxtract-从网络流量中提取文件。
• ？ Wireshark-网络流量分析工具。

在内存图像或运行系统中解剖恶意软件的工具。

• ？ Blacklight -Windows/MacOS法医客户端支持Hiberfil，PageFile，原始内存分析。
• 211 48? DAMM） - 基于波动率的记忆中恶意软件的差分分析。
• 260 42? Evolve） - 波动性内存法医框架的Web界面。
• ？ Findaes-在内存中找到AES加密密钥。
• 281 57? Invtero.net） - .NET中开发的高速内存分析框架支持所有Windows X64，包括代码完整性和写入支持。
• 52 9? MUNINN） - 一个使用波动率自动化分析部分的脚本，并创建可读报告。 226 19? Orochi） - Orochi是协作法医记忆转储分析的开源框架。
• REKALL-内存分析框架，从2013年的波动分叉。
• 49 9?总计） - 基于自动化各种恶意软件分析任务的波动率的脚本。
• 194 50? VOLDIFF） - 在执行恶意软件之前和之后，在内存图像上运行波动，并报告更改。
• 7431 1294?波动率） - 高级内存取证框架。
• 381 82?自助率） - 波动性内存分析框架的Web界面。
• 621 179? WDBGARK）-WINDBG抗根源扩展。
• ？ WindBG- Windows系统的实时内存检查和内核调试。

• 184 29? Achoir） - 用于收集Windows文物的实时事件响应脚本。
• 49 11? Python -evt） - 用于解析Windows事件日志的Python库。
• Python -Registry-用于解析注册表文件的Python库。
• Regripper（ ? github）） - 基于插件的注册表分析?? 。

• 158 53? Aleph） - 开源恶意软件分析管道系统。
• ？诉讼 - 关于威胁，恶意软件和威胁存储库的协作研究。
• ？名望 - 一个恶意软件分析框架，其包含管道，可以使用自定义模块进行扩展，该模块可以链接并相互交互以执行端到端分析。
• 134 43?恶意软件） - 存储，标签和搜索恶意软件。
• 376 60? POLICHOMBR） - 一个恶意软件分析平台，旨在帮助分析师协作逆转Malwares。
• STOQ-分布式内容分析框架，具有广泛的插件支持，从输入到输出以及两者之间的所有内容。
• Viper-分析师和研究人员的二进制管理和分析框架。

• 6002 1178? Al-Khaser） - 一种POC恶意软件，具有强调反恶意软件系统的良好意图。
• 39 12? Cryptoknight） - 自动加密算法逆向工程和分类框架。
• 306 59? DC3 -MWCP） - 国防网络犯罪中心的恶意软件配置解析器框架。
• 6727 931? Flare VM） - 一个完全可自定义的基于Windows的，用于恶意软件分析的安全性。
• 537 198? malsploitbase） - 一个包含恶意软件使用的利用的数据库。
• ？恶意软件博物馆 - 1980年代和1990年代分发的恶意软件计划的集合。
• 1 0?恶意软件组织者） - 将大型恶意/良性文件组织成有组织的结构的简单工具。
• 3464 467? Pafish） - 偏执鱼，一种演示工具，采用多种技术来检测沙箱和分析环境，就像恶意软件家族一样。
• ？ REMnux - Linux distribution and docker images for malware reverse engineering and analysis.
• ？ Tsurugi Linux - Linux distribution designed to support your DFIR investigations, malware analysis and OSINT (Open Source INTelligence) activities.
• ？ Santoku Linux - Linux distribution for mobile forensics, malware analysis, and security.

Essential malware analysis reading material.

• ？ Learning Malware Analysis - Learning Malware Analysis: Explore the concepts, tools, and techniques to analuze and investigate Windows malware
• ？ Malware Analyst's Cookbook and DVD - Tools and Techniques for Fighting Malicious Code.
• ？ Mastering Malware Analysis - Mastering Malware Analysis: The complete malware analyst's guide to combating malicious software, APT, cybercime, and IoT attacks
• ？ Mastering Reverse Engineering - Mastering Reverse Engineering: Re-engineer your ethical hacking skills
• ？ Practical Malware Analysis - The Hands-On Guide to Dissecting Malicious Software.
• ？ Practical Reverse Engineering - Intermediate Reverse Engineering.
• ？ Real Digital Forensics - Computer Security and Incident Response.
• ？ Rootkits and Bootkits - Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats
• ？ The Art of Memory Forensics - Detecting Malware and Threats in Windows, Linux, and Mac Memory.
• ？ The IDA Pro Book - The Unofficial Guide to the World's Most Popular Disassembler.
• ？ The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• 1668 282? APT Notes) - A collection of papers and notes related to Advanced Persistent Threats.
• 964 282? Ember) - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• 10591 742? File Formats posters) - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• ？ Malicious Software - Malware blog and resources by Lenny Zeltser.
• ？ Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• ？ Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• 165 15? Malware Persistence) - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• ？ Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• ？ Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• 3784 788? RPISEC Malware Analysis) - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• 332 73? Windows Registry specification) - Windows registry file format specification.
• ？ /r/csirt_tools - Subreddit for CSIRT tools and resources, with a ? malware analysis flair.
• ？ /r/Malware - The malware subreddit.
• ？ /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• 8295 1455? Android Security)
• 6387 742? AppSec)
• 9945 1497? CTFs)
• 1233 107? Executable Packing)
• 4039 632? Forensics)
• 13362 1556? "Hacking")
• 8757 1267? Honeypots)
• 1658 438? Industrial Control System Security)
• 7751 1537? Incident-Response)
• 5229 739? Infosec)
• 3149 466? PCAP Tools)
• 22166 4493? Pentesting)
• 12586 1938?安全）
• 8246 1499? Threat Intelligence)
• 3608 495? YARA)

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

谢谢！

12101 2585? rshipp/awesome-malware-analysis)