首頁>JSP源碼>其他類別
下載

很棒的惡意軟件分析

精心策劃的令人敬畏的惡意軟件分析工具和資源清單。受228609 25039?很棒的python)和31110 5080?很棒的php)。

掉冰

  • 惡意軟件收集
    • 匿名者
    • 蜜罐
    • 惡意軟件公司
  • 開源威脅情報
    • 工具
    • 其他資源
  • 檢測和分類
  • 在線掃描儀和沙箱
  • 域分析
  • 瀏覽器惡意軟件
  • 文檔和外殼
  • 文件雕刻
  • DEOBFUSCATION
  • 調試和反向工程
  • 網絡
  • 內存取證
  • 窗戶工件
  • 存儲和工作流程
  • 各種各樣的
  • 資源
    • 圖書
    • 其他
  • 相關的很棒列表
  • 貢獻
  • 謝謝

查看中文翻譯:惡意軟件分析大合集.md。

惡意軟件收集

匿名者

分析師的網絡流量匿名者。

  • Anonymouse.org-一個免費的基於Web的匿名器。
  • ? OpenVPN- VPN軟件和託管解決方案。
  • Privoxy-具有某些隱私功能的開源代理服務器。
  • ? tor-洋蔥路由器,用於瀏覽網絡而不留下客戶端IP的痕跡。

蜜罐

陷阱並收集自己的樣品。

  • 1261 417? Conpot)-ICS/SCADA Honeypot。
  • 5271 903? Cowrie)-SSH Honeypot,基於Kippo。
  • 61 12? Demohunter) - 低相互作用分佈的蜜罐。
  • 718 184? Dionaea) - 蜜罐旨在捕獲惡意軟件。
  • 565 168? GLASTOPF) - Web應用程序Honeypot。
  • Honeyd-創建虛擬蜜網。
  • ? HoneyDrive -Honeypot Bundle Linux發行版。
  • 1230 174? Honeytrap) - 用於運行,監視和管理蜜罐的OpenSource系統。
  • 2440 631? MHN) - MHN是用於管理和數據收集蜜罐的集中式服務器。 MHN允許您快速部署傳感器並立即收集數據,可從整潔的Web界面查看。
  • 46 39? mnemosyne) - 蜜罐數據的標準器;支持Dionaea。
  • 998 203?暴徒) - 低相互作用的蜂蜜,用於調查惡意網站。

惡意軟件公司

收集的惡意軟件樣本進行分析。

  • 清潔MX-惡意軟件和惡意域的實時數據庫。
  • CONTAGIO-最近的惡意軟件樣本和分析集。
  • ?利用數據庫 - 利用和殼牌碼樣本。
  • ? Infosec -CERT -PA-惡意軟件樣本收集和分析。
  • ?詢問實驗室 - 惡意Microsoft文檔的可搜索語料庫。
  • 686 238? JavaScript mallware Collection) - 近40.000 JavaScript惡意軟件樣本的收集
  • ? MALPEDIA-一種資源,可為惡意軟件調查提供快速識別和可操作的環境。
  • ? Malshare-惡意軟件的大型存儲庫積極從惡意網站取消。
  • 94 25? ragpicker) - 基於插件的惡意軟件橋樑,具有預分析和報告功能
  • 11438 2532? thezoo) - 分析師的實時惡意軟件樣本。
  • Tracker H3X-惡意軟件Corpus Tracker和惡意下載網站。
  • ? ?? VDUDDU惡意軟件存儲庫) - 各種惡意軟件文件和源代碼的收集。
  • ?病毒貝 - 基於社區的惡意軟件存儲庫和社交網絡。
  • 病毒 - 惡意軟件數據庫,除Clamav以外,許多反惡意軟件程序都檢測到。
  • ? Virusshare-惡意軟件存儲庫,需要註冊。
  • VX Vault-惡意軟件樣本的主動收集。
  • ? Zeltser的消息來源 - Lenny Zeltser匯總的惡意軟件樣本來源列表。
  • 1427 697?宙斯源代碼) - 宙斯特洛伊木馬的來源在2011年洩漏。
  • VX Underground-大量的免費惡意軟件樣品集合。

開源威脅情報

工具

收穫和分析IOC。

  • 122 18?濫用者) - 接收和重新分配濫用供稿和威脅英特爾的開源框架。
  • ? Alienvault開放威脅交換 - 共享和合作發展威脅情報。
  • 657 171?結合) - 從公開可用來源收集威脅情報指標的工具。
  • 119 25? FileIntel) - 每個文件哈希繪製智能。
  • 265 51? HOSTINTEL) - 每個主機拉力智能。
  • ? IntelMQ-使用消息隊列處理事件數據的證書工具。
  • ? IOC編輯器 - XML IOC文件的免費編輯器。
  • 513 91? iocextract) - 妥協(IOC)提取器,python庫和命令行工具的高級指標。
  • 201 61? ioc_writer) - Python庫,用於使用Mandiant的OpenIOC對象。
  • 104 24? MALPIPE) - 惡意軟件/IOC攝入和處理引擎,豐富了收集的數據。
  • 228 60?巨大的Octo Spice) - 以前稱為CIF(集體智能框架)。來自各個列表的匯總IOC。由CSIRT小工具基金會策劃。
  • 5449 1416? MISP) - MISP項目策劃的惡意軟件信息共享平台。
  • ?脈動 - 免費,由社區驅動的威脅情報平台從開源供稿中收集IOC。
  • 18 7? PYIOCE) - Python OpenIOC編輯。
  • ? RISKIQ-研究,連接,標記和共享IP和域。 (是用光的。)
  • 80 27? thealtaggregator) - 匯總了許多來源的安全威脅,包括以下其他資源中列出的一些來源。
  • ?威脅連接-TC Open可讓您在免費社區的支持和驗證下查看和共享開源威脅數據。
  • ?威脅性 - 具有圖形可視化的威脅搜索引擎。
  • ? ??威脅者) - 從Twitter,RSS,Github等建立自動威脅英特爾管道。
  • 66 13? thealtracker) - 一個Python腳本,可根據IOC進行監視和生成一組Google自定義搜索引擎索引的警報。
  • 173 43? TIQ檢驗) - 威脅智能提要的數據可視化和統計分析。

其他資源

威脅情報和IOC資源。

  • ? Autoshun?列表)-nort插件和排名列表。
  • BAMBENEK諮詢提要 - 基於惡意DGA算法的OSINT提要。
  • ? Fidelis Barncat-廣泛的惡意軟件配置數據庫(必須請求訪問)。
  • CI軍(列表) - 網絡安全區塊列表。
  • ?關鍵的堆棧 - 免費英特爾市場 - 免費的Intel聚合器,具有90多個供稿和超過120萬個指標的重複數據刪除。
  • 網絡犯罪跟踪器 - 多個殭屍網絡活動跟踪器。
  • 465 117? FireEye IOC) - FireEye公開共享的折衷指標。
  • ? Firehol IP列表 - 350多個IP列表的分析,重點是攻擊,惡意軟件和濫用。進化,改變歷史,國家地圖,列出的IPS年齡,保留政策,重疊。
  • ? HoneyDB-社區驅動的Honeypot傳感器數據收集和聚合。
  • 213 110? HPFEEDS) - 蜜罐飼料方案。
  • ? Infosec -CERT -PA列表? ips-?域 - ? URLS) - 排列服務。
  • ?詢問RepDB-來自各種開放聲譽來源的IOC連續匯總。
  • ?詢問IOCDB-來自各種博客,GitHub Repos和Twitter的IOC連續匯總。
  • ?互聯網風暴中心(DShield) - 帶有網絡的日記和可搜索的事件數據庫? API。 ( 29 13?非官方的Python庫))。
  • MALC0DE-可搜索的事件數據庫。
  • 惡意軟件域列表 - 搜索和共享惡意URL。
  • ? MetadeFender威脅智能供稿 - 來自MetadeFender Cloud的最高查找文件列表。
  • ? OpenIOC-共享威脅情報的框架。
  • ?證明威脅情報 - 規則集等。 (以前是新興威脅。)
  • ?勒索軟件概述 - 勒索軟件概述列表,其中包含詳細信息,檢測和預防。
  • Stix-結構化威脅信息表達式 - 標準化語言以表示和共享網絡威脅信息。相關的工作? MITER:
    • CAPEC-公共攻擊模式枚舉和分類
    • Cybox-網絡可觀察表達式
    • MAEC-惡意軟件屬性枚舉和表徵
    • 出租車 - 可信自動交換指標信息
  • ? SystemLookup -SystemLookup託管了一系列列表,這些列表提供了有關合法和潛在不需要程序的組件的信息。
  • ?威脅者 - 威脅智能的數據挖掘門戶,並進行搜索。
  • ? Threatrecon-搜索指標,每月最多免費。
  • ?威脅賣出-C2面板跟踪器
  • 4218 1008? Yara規則)-Yara規則存儲庫。
  • 1769 294? Yeti) - Yeti是一個平台,旨在組織一個統一存儲庫中的威脅,妥協,TTP的指標,TTP和知識的指標。
  • ?宙斯追踪器 - 宙斯區塊列表。

檢測和分類

防病毒和其他惡意軟件識別工具

  • 204 35? Analyzepe) - 包裝器,用於在Windows PE文件上報告各種工具。
  • ? AssemblyLine-可擴展的文件分類和惡意軟件分析系統集成了網絡安全社區的最佳工具。
  • 1416 186? binaryAlert) - 一個開源的無服務器AWS管道,該管道根據一組Yara規則掃描和警報上傳文件。
  • 4973 567? CAPA) - 檢測可執行文件中的功能。
  • Chkrootkit-本地Linux rootkit檢測。
  • Clamav-開源防病毒發動機。
  • 7842 738?檢測它簡單(DIE)) - 用於確定文件類型的程序。
  • 外觀PE-包裝器,壓縮機檢測器,拆卸信息,內部EXE工具。
  • ? Exiftool-讀取,寫和編輯文件元數據。
  • 290 49?文件掃描框架) - 模塊化的遞歸文件掃描解決方案。
  • 1573 192? FN2YARA) - FN2YARA是一種在可執行程序中生成Yara簽名(代碼)的工具。
  • 1 0?通用文件解析器) - 單個庫解析器,用於提取元信息,靜態分析和檢測文件中的宏。
  • 718 132? hashdeep) - 使用多種算法計算摘要哈希。
  • 1777 195? Hashcheck) - Windows Shell Extension,以使用多種算法計算哈希。
  • 3429 585? LOKI) - 基於主機的IOC掃描儀。
  • 192 35?故障) - 目錄並比較功能級別的惡意軟件。
  • 1025 161? Manalyze) - PE可釘的靜態分析儀。
  • 176 40? MASTIFF) - 靜態分析框架。
  • 618 125? MultisCanner) - 模塊化文件掃描/分析框架
  • 533 80? NAUZ文件檢測器(NFD)) - Windows,Linux和MacOS的Linker/Compiler/tool detecter。
  • 112 10? nsrllookup) - 一種用於查找NIST國家軟件參考庫數據庫中哈希的工具。
  • 42 9? PACKERID) - PEID的跨平台Python替代品。
  • ? PE -BEAR- PE文件的反向工具。
  • 612 139? PEFRAME) - PEFRAME是一種開源工具,可以對便攜式可執行惡意軟件和惡意MS Office文檔進行靜態分析。
  • PEV-一個用於使用PE文件的乘法工具包,提供了適當分析可疑二進製文件的功能豐富的工具。
  • 499 95? PORTEX) - Java庫分析PE文件,特別關注惡意軟件分析和PE畸形魯棒性。
  • 1344 170? Quark-engine) - 混淆 - 否定的Android惡意軟件評分系統
  • Rootkit Hunter-檢測Linux rootkit。
  • ? SSDeep-計算模糊哈希。
  • ? totalhash.py- python腳本,用於輕鬆搜索? totalhash.cymru.com數據庫。
  • TRID-文件標識符。
  • ? Yara-分析師的模式匹配工具。
  • 1577 282? Yara規則生成器) - 基於一組惡意軟件樣本生成Yara規則。還包含一個良好的字符串DB,以避免誤報。
  • 2 0? YARA FINDER) - YARA與文件與各種Yara規則相匹配的簡單工具,以找到懷疑的指標。

在線掃描儀和沙箱

基於Web的多AV掃描儀和惡意軟件沙箱,用於自動分析。

  • ? anlyz.io-在線沙箱。
  • ? any.run-在線交互式沙箱。
  • ? Andrototal-針對多個移動防病毒應用程序的APK的免費在線分析。
  • 237 38? Boombox) - 使用Packer和Vagrant自動部署杜鵑沙盒惡意軟件實驗室。
  • 加密 - 分析可疑的辦公文件。
  • ?杜鵑花盒 - 開源,自託管沙箱和自動分析系統。
  • 271 100?杜鵑修飾) - 在GPL下發布的杜鵑沙盒的修改版。由於作者的法律問題,沒有在上游合併。
  • 22 7?杜鵑 - 修飾-API) - 用於控制杜鵑修飾的沙盒的Python API。
  • ? DeepViz-具有機器學習分類的多格式文件分析儀。
  • ? ?? DETUX) - 開發了用於進行Linux Malwares和捕獲IOC的交通分析的沙盒。
  • 1076 255? DRAKVUF) - 動態惡意軟件分析系統。
  • ? filescan.io-靜態惡意軟件分析,vba/powershell/vbs/js仿真
  • 固件 - 拆卸,掃描和分析幾乎所有固件軟件包。
  • 734 220? HABOMALHUNTER) - Linux Elf文件的自動化惡意軟件分析工具。
  • ?混合分析 - 在線惡意軟件分析工具,由VXSANDBOX提供支持。
  • ? Intezer-通過識別代碼重複使用和代碼相似性來檢測,分析和分類惡意軟件。
  • IRMA-可疑文件的異步和可自定義的分析平台。
  • ? Joe Sandbox-帶有Joe Sandbox的深層惡意軟件分析。
  • ? Jotti-免費的在線多AV掃描儀。
  • 390 115? Limon) - 用於分析Linux惡意軟件的沙箱。
  • 369 101? MALHEUR) - 惡意軟件行為的自動沙盒分析。
  • 1658 270? MALICE.IO) - 大規模可擴展的惡意軟件分析框架。
  • 368 80? MALSUB) - 用於在線惡意軟件和URL分析服務的Python Restful API框架。
  • ?惡意軟件配置 - 提取,解碼和在線顯示配置設置,從普通惡意軟件中進行。
  • ? Malwareanalyser.io-在線基於惡意軟件異常分析儀,具有啟發式檢測引擎,由數據挖掘和機器學習提供動力。
  • ? MALWR-通過在線杜鵑沙盒實例的免費分析。
  • ? MetadeFender Cloud-免費的惡意軟件掃描文件,哈希,IP,URL或域地址。
  • ? NetworkTotal-使用配備有新興atherats Pro的Suricata來分析PCAP文件並促進病毒,蠕蟲,特洛伊木馬和各種惡意軟件的快速檢測。
  • 1133 222? NORIBEN) - 使用Sysinternals Procmon在沙盒環境中收集有關惡意軟件的信息。
  • ? PACKETTOTAL -PACKETTOTAL是用於分析.pcap文件的在線引擎,並可視化其中的網絡流量。
  • PDF審查員 - 分析可疑PDF文件。
  • Procdot-圖形惡意軟件分析工具套件。
  • 130 39? Recomposer) - 一個安全腳本,用於安全地將二進製文件上傳到沙盒站點。
  • 138 40? SandBoxapi) - Python庫,用於建立多個開源和商業惡意軟件沙盒的集成。
  • 817 104?請參閱) - 沙盒執行環境(請參閱)是在有擔保環境中構建測試自動化的框架。
  • ? Sekoia滴管分析 - 在線滴管分析(JS,VBScript,Microsoft Office,PDF)。
  • ? Virustotal-惡意軟件樣品和URL的免費在線分析
  • 139 30? Visualize_logs) - 開源可視化庫和日誌命令行工具。 (杜鵑,procmon,還有更多...)
  • ? Zeltser的列表 - Lenny Zeltser編輯的免費自動沙盒和服務。

域分析

檢查域和IP地址。

  • ? Baushipdb -AbaudiPDB是一個致力於幫助互聯網上黑客,垃圾郵件發送者和濫用活動的項目。
  • ? BADIPS.com-基於社區的IP黑名單服務。
  • 38 6? Boomerang) - 一種工具,旨在一致,安全地捕獲OFF網絡Web資源。
  • ? Cymon-威脅智能跟踪器,具有IP/域/哈希搜索。
  • DESENMASCARA.ME-一鍵單擊的工具,可以檢索盡可能多的元數據,以評估其良好的信譽。
  • ?挖掘 - 免費的在線挖掘和其他網絡工具。
  • 4957 777? DNSTWIST) - 用於檢測錯別字蹲,網絡釣魚和公司間諜活動的域名置換引擎。
  • 100 24? IPINFO) - 通過搜索在線資源來收集有關IP或域的信息。
  • 505 101? Machinae) - OSINT工具,用於收集有關URL,IPS或HASHES的信息。類似於Automator。
  • 1655 258? MailChecker) - 跨語言臨時電子郵件檢測庫。
  • 80 22? Maltegovt)-Maltego為Virustotal API轉換。允許域/IP研究,並蒐索文件哈希和掃描報告。
  • 多RBL-多個DNS黑名單和前進確認的反向DNS查找超過300個RBL。
  • ? Normshield服務 - 免費的API服務,用於檢測可能的網絡釣魚域,黑名單的IP地址和違反帳戶。
  • ?網絡組織 - 搜索IP,域和網站標題的網絡釣魚統計數據
  • ? Spyse-子域,WHOIS,REALTED域,DNS,主機為SSL/TLS信息,
  • ? SecurityTrails-歷史和當前WHOI,歷史和當前DNS記錄,相似域,證書信息以及其他域以及與IP相關的API和工具。
  • ? SPAMCOP-基於IP的垃圾郵件塊列表。
  • ? Spamhaus-基於域和IP的塊列表。
  • ? Sucuri Sitecheck-免費網站惡意軟件和安全掃描儀。
  • ? Talos Intelligence-搜索IP,域或網絡所有者。 (以前的senderbase。)
  • Tekdefense Automater- OSINT工具,用於收集有關URL,IPS或HASHES的信息。
  • ? Urlhaus-一個來自abus.ch的項目,目的是共享用於惡意軟件發行的惡意URL。
  • URLQUERY-免費URL掃描儀。
  • ? URLSCAN.IO-免費的URL掃描儀和域信息。
  • ?哇 - Domaintools免費在線搜索。
  • ? Zeltser的列表 - Lenny Zeltser編輯的有關惡意網站的免費在線工具。
  • ? Zscalar Zulu -Zulu URL風險分析儀。

瀏覽器惡意軟件

分析惡意網址。另請參見域分析以及文檔和殼牌座部分。

  • 14757 1155? Bytecode Viewer) - 將多個Java字節碼查看器和分解器組合到一個工具中,包括APK/DEX支持。
  • ? Firebug-用於網絡開發的Firefox擴展。
  • Java分解器 - 反編譯和檢查Java應用程序。
  • ? ?? Java IDX解析器) - 解析Java IDX緩存文件。
  • JSDETOX- JAVASCRIPT惡意軟件分析工具。
  • 163 65? Jsunpack -n) - 模擬瀏覽器功能的JavaScript解紙牌。
  • 2006 223? Krakatau)-Java分解器,彙編器和拆卸器。
  • Malzilla-分析惡意網頁。
  • 432 92? rabcdasm) - “強大的動作字節串聯拆卸器”。
  • ? SWF研究者 - SWF應用的靜態和動態分析。
  • swftools-用於使用Adobe Flash文件的工具。
  • XXXSWF-用於分析閃存文件的Python腳本。

文檔和外殼

分析PDF和辦公文件中的惡意JS和ShellCode。另請參見“瀏覽器惡意軟件”部分。

  • 178 41? AnalyzePDF) - 一種用於分析PDF的工具,並試圖確定它們是否是惡意的。
  • 623 86? BOX -JS) - 用於研究JavaScript惡意軟件的工具,具有JScript/WScript支持和ActiveX仿真。
  • Distorm-分析惡意外殼的拆卸器。
  • ?查詢深度文件檢查 - 上傳常見的惡意軟件誘餌,以進行深度文件檢查和啟發式分析。
  • JS Beautifier- JavaScript解開和DEOBFUSCATION。
  • Libemu- X86殼碼仿真的庫和工具。
  • 53 16? MALPDFOBJ) - 將惡意PDF解構為JSON表示。
  • OfficeMalsCanner-掃描MS Office文檔中的惡意痕跡。
  • Olevba-用於解析OLE和OPENXML文檔並提取有用信息的腳本。
  • ?摺紙PDF-一種用於分析惡意PDF的工具,等等。
  • ? PDF工具 - PDFID,PDF -Parser等來自Didier Stevens。
  • 35 9? PDF X射線Lite) - PDF分析工具,PDF X射線的無後端版本。
  • PEEPDF-用於探索可能是惡意PDF的Python工具。
  • ? QuickSand -QuickSand是一個緊湊的C框架,可分析可疑的惡意軟件文檔,以識別不同編碼流中的利用,並找到和提取嵌入式的可執行文件。
  • ? Spidermonkey- Mozilla的JavaScript引擎,用於調試惡意JS。

文件雕刻

用於從內部磁盤和內存圖像中提取文件。

  • 1133 192? bulk_extractor) - 快速文件雕刻工具。
  • 193 22? evtxtract) - 從原始二進制數據中雕刻Windows事件日誌文件。
  • 首先 - 由美國空軍設計的文件雕刻工具。
  • 624 69? Hachoir3) - Hachoir是一個python庫,可以通過字段查看和編輯二進制流。
  • 629 100?手術刀) - 另一個數據雕刻工具。
  • 82 48? sflock) - 嵌套的存檔提取/解開包裝(在杜鵑沙盒中使用)。

DEOBFUSCATION

反向XOR和其他代碼混淆方法。

  • ? Balbuzard-一種用於逆轉混淆(XOR,ROL等)等的惡意軟件分析工具等。
  • 7008 2691? de4dot) - .NET DEOBFUSCATOR和UNWACKACKER。
  • EX_PE_XOR和IHEARTXOR- Alexander Hanel的兩個工具用於使用單字節XOR編碼文件。
  • 3352 456? FLOSS) - FireEye Labs混淆的字符串求解器使用先進的靜態分析技術來自動從惡意軟件二進製文件中脫離碰撞字符串。
  • 86 18? Nomorexor) - 使用頻率分析猜測256字節XOR鍵。
  • 270 72? PackerAttacker) - Windows惡意軟件的通用隱藏代碼提取器。
  • 3055 626? PyInstaller Defactor) - 一個Python腳本,用於提取Pyinstaller生成的Windows可執行文件的內容。還會提取並自動修復了可執行文件中存在的PYZ文件(通常是PYC文件)的內容(通常是PYC文件),以便Python bytecode exompiler可以識別它。
  • ? ?? uncompyle6) - 交叉python字節碼分解器。將Python字節碼轉換回等效的Python源代碼。
  • 670 83? Un {i} Packer) - 基於仿真的Windows二進製文件的自動和平台獨立的拆卸器。
  • ? ??拆卸器) - 基於WinAppDBG的Windows惡意軟件的自動化惡意軟件。
  • ? ?? UNXOR) - 使用已知的plaintext攻擊猜測XOR密鑰。
  • 133 24? VirtualDeoBfuscator) - 虛擬化包裝器的逆向工程工具。
  • Xorbruteforcer-野蠻的python腳本強迫單字節Xor鍵。
  • ? Xorsearch&Xorsrings-來自Didier Stevens的幾個程序,用於查找Xored數據。
  • 1406 173? Xortool) - 猜測XOR密鑰長度以及密鑰本身。

調試和反向工程

拆卸器,調試器和其他靜態和動態分析工具。

  • 7659 1088? ANGR) - 在UCSB的seclab開發的平台 - 不足的二進制分析框架。
  • ? ?? BAMFDetect) - 從機器人和其他惡意軟件中識別和提取信息。
  • 2081 273? BAP) - 在CMU Cylab上開發的乘以開源和開源(MIT)二進制分析框架。
  • 1413 168? BARF) - 多平台,開源二進制分析和逆向工程框架。
  • 2878 453? Binnavi) - 基於圖形可視化的逆向工程的二元分析IDE。
  • ?二進制忍者 - 一個反向工程平台,是IDA的替代品。
  • 11665 1578? Binwalk) - 固件分析工具。
  • 123 22? BluePill) - 用於執行和調試迴避惡意軟件和受保護可執行文件的框架。
  • 7693 1562? CAPSTONE) - 用於二進制分析和逆轉的拆卸框架,並支持多種語言的許多架構和綁定。
  • 44 6? CodeBro) - 基於Web的代碼瀏覽器使用Clang提供基本代碼分析。
  • ? ??刀具)-GUI用於RADARE2。
  • 808 168? DECAF(動態可執行代碼分析框架)) - 基於QEMU的二進制分析平台。 DroidScope現在已成為Decaf的擴展。
  • 26848 5153? DNSpy) - .NET組裝編輯,分解器和調試器。
  • ? dotpeek-免費.NET分解器和組裝瀏覽器。
  • Evan的調試器(EDB) - 帶有QT GUI的模塊化調試器。
  • 2258 194? Fibratus) - 用於探索和跟踪Windows內核的工具。
  • ? FPORT-在實時系統中報告打開TCP/IP和UDP端口,並將其映射到擁有應用程序。
  • GDB- GNU調試器。
  • 7107 742? GEF)-GDB增強功能,用於剝削者和反向工程師。
  • 52649 5953? GHIDRA) - 由國家安全局研究局創建和維護的軟件逆向工程(SRE)框架。
  • 170 19? hackers -grep) - 搜索PE可執行文件中的字符串的實用性,包括導入,導出和調試符號。
  • ?霍珀 - MacOS和Linux拆卸器。
  • ? IDA Pro- Windows拆卸器和調試器,並提供免費評估版本。
  • 981 226? IDR) - Interactive Delphi重建器是Delphi可執行文件和動態庫的分解器。
  • 免疫調試器 - 惡意軟件分析的調試器以及其他python API。
  • ILSPY -ILSPY是開源.NET組件瀏覽器和反合式的。
  • kaitai struct -DSL用於文件格式 /網絡協議 /數據結構反向工程和解剖,以及用於C ++,C#,Java,Java,JavaScript,Perl,Perl,Php,Php,Python,Python,Ruby的代碼生成。
  • ? Lief- Lief提供了一個跨平台庫來解析,修改和抽象精靈,PE和MACHO格式。
  • Ltrace- Linux可執行文件的動態分析。
  • 85 24? MAC-A-MAL) - MAC惡意軟件狩獵的自動框架。
  • ? objdump- gnu binutils的一部分,用於靜態分析Linux二進製文件。
  • OLLYDBG-用於Windows可執行文件的組裝級調試器。
  • ? OLLYDUMPEX-(未包裝的)惡意軟件處理過程中的轉儲內存,並存儲RAW或REBUILD PE文件。這是用於OLLYDBG,免疫調試器,IDA PRO,WINDBG和X64DBG的插件。
  • 105 42?熊貓) - 建築與中立動態分析平台。
  • 5915 809? PEDA) - Python為GDB開發開發幫助,這是一個增強的顯示,並帶有添加命令。
  • ? PESTUDIO-執行Windows可執行文件的靜態分析。
  • 1573 192? Pharos) - Pharos二進制分析框架可用於對二進制的自動靜態分析。
  • 3049 276?等離子體) - X86/ARM/MIPS的交互式拆卸器。
  • ? PPEE(Puppy) - 一個專業的PE文件資源管理器,用於逆轉者,惡意軟件研究人員以及想要更詳細地檢查PE文件的人。
  • ?流程資源管理器 - Windows的高級任務管理器。
  • 過程黑客 - 監視系統資源的工具。
  • ?流程監視器 - Windows程序的高級監視工具。
  • ? PSTools- Windows命令行工具,可幫助管理和調查實時系統。
  • 386 95? PYEW) - 惡意軟件分析工具。
  • 1657 247? pyrebox)-Cisco Talos Team的Python可拼寫的反向工程沙盒。
  • ? QILILE框架 - 跨平台仿真和sANBOXING框架,帶有二進制分析的儀器。
  • ? ?? QKD) - 帶有嵌入式WindBG服務器的QEMU進行隱形調試。
  • Radare2-逆向工程框架,並提供調試器支持。
  • ? Regshot-註冊表比較比較快照的實用程序。
  • ? retdec-可重新定位的機器代碼分解器與AN?在線解說服務?您可以在工具中使用的API。
  • 285 42? ROPMEMU) - 一個框架,用於分析,解剖和反編譯複雜的代碼複製攻擊。
  • 1128 232? Scylla Imports重建器) - 查找並修復未包裝 /傾倒PE32惡意軟件的IAT。
  • 3526 441? Scyllahide) - Ollydbg,X64DBG,IDA Pro和Titanengine的反式驅動圖書館和插件。
  • 66 15? SMRT) - 崇高的惡意軟件研究工具,用於輔助惡意軟件分析的Sublime 3的插件。
  • ? strace- Linux可執行文件的動態分析。
  • 688 125? Stringsifter) - 一種機器學習工具,可以根據其與惡意軟件分析的相關性自動對字符串進行排名。
  • ? Triton-動態二進制分析(DBA)框架。
  • 1029 298? UDIS86) - X86和X86_64的拆卸器庫和工具。
  • 945 187? Vivisect) - 惡意軟件分析的Python工具。
  • ? WINDBG- Microsoft Windows計算機操作系統的多功能調試器,用於調試用戶模式應用程序,設備驅動程序和內核模式內存轉儲。
  • ? ?? X64DBG) - Windows的開源X64/X32調試器。

網絡

分析網絡交互。

  • ? BRO-協議分析儀,以令人難以置信的規模運行;文件和網絡協議。
  • 33 5? Broyara) - 使用兄弟的Yara規則。
  • 714 159? Captipper) - 惡意HTTP交通資源管理器。
  • 489 112? Chopshop) - 協議分析和解碼框架。
  • ? CloudShark-基於Web的工具,用於數據包分析和惡意軟件流量檢測。
  • 1830 364? Fakenet -NG) - 下一代動態網絡分析工具。
  • ?提琴手 - 攔截專為“ Web調試”設計的Web代理。
  • 188 64? Hale)-Botnet C&C監視器。
  • HAKA-一種以開源安全為導向的語言,用於描述協議並應用(LIVE)捕獲的流量的安全策略。
  • 95 35? httpreplay) - 用於解析和讀取PCAP文件的庫,包括使用TLS Master Secrets(在杜鵑花盒中使用)的TLS流。
  • Inetsim-網絡服務仿真,構建惡意軟件實驗室時有用。
  • 743 156? Laika Boss) - Laika Boss是一個以文件為中心的惡意軟件分析和入侵檢測系統。
  • 371 60? MALCOLM) - MALCOLM是一個功能強大的,易於部署的網絡流量分析工具套件,用於完整的數據包捕獲工件(PCAP文件)和Zeek日誌。
  • 1160 216? Malcom) - 惡意軟件通信分析儀。
  • 6660 1105? MALTRAIL) - 一種惡意的交通檢測系統,利用包含惡意和/或通常可疑步道的公開列表(黑色)列表,並具有報告和分析界面。
  • ? MITMProxy-即時攔截網絡流量。
  • 6442 1045? MOLOCH)-IPv4流量捕獲,索引和數據庫系統。
  • NetworkMiner-免費版本的網絡法醫分析工具。
  • 909 102? NGREP) - 通過GREP等網絡流量進行搜索。
  • 345 61? PCAPVIZ) - 網絡拓撲和流量可視化器。
  • 58 13? Python ICAP Yara) - 帶有Yara掃描儀的ICAP服務器,用於URL或內容。
  • 78 27? SquidMagic) - SquidMagic是一種工具,旨在分析基於Web的網絡流量,以使用Squid Proxy Server和Spamhaus來檢測Central Command and Control(C&C)服務器和惡意站點。
  • TCPDUMP-收集網絡流量。
  • TCPICK-網絡流量中的Trach和ReasemerTCP流。
  • tcpxtract-從網絡流量中提取文件。
  • ? Wireshark-網絡流量分析工具。

內存取證

在內存圖像或運行系統中解剖惡意軟件的工具。

  • ? Blacklight -Windows/MacOS法醫客戶端支持Hiberfil,PageFile,原始內存分析。
  • 211 48? DAMM) - 基於波動率的記憶中惡意軟件的差分分析。
  • 260 42? Evolve) - 波動性內存法醫框架的Web界面。
  • ? Findaes-在內存中找到AES加密密鑰。
  • 281 57? Invtero.net) - .NET中開發的高速內存分析框架支持所有Windows X64,包括代碼完整性和寫入支持。
  • 52 9? MUNINN) - 一個使用波動率自動化分析部分的腳本,並創建可讀報告。 226 19? Orochi) - Orochi是協作法醫記憶轉儲分析的開源框架。
  • REKALL-內存分析框架,從2013年的波動分叉。
  • 49 9?總計) - 基於自動化各種惡意軟件分析任務的波動率的腳本。
  • 194 50? VOLDIFF) - 在執行惡意軟件之前和之後,在內存圖像上運行波動,並報告更改。
  • 7431 1294?波動率) - 高級內存取證框架。
  • 381 82?自助率) - 波動性內存分析框架的Web界面。
  • 621 179? WDBGARK)-WINDBG抗根源擴展。
  • ? WindBG- Windows系統的實時內存檢查和內核調試。

窗戶工件

  • 184 29? Achoir) - 用於收集Windows文物的實時事件響應腳本。
  • 49 11? Python -evt) - 用於解析Windows事件日誌的Python庫。
  • Python -Registry-用於解析註冊表文件的Python庫。
  • Regripper( ? github)) - 基於插件的註冊表分析??

存儲和工作流程

  • 158 53? Aleph) - 開源惡意軟件分析管道系統。
  • ?訴訟 - 關於威脅,惡意軟件和威脅存儲庫的協作研究。
  • ?名望 - 一個惡意軟件分析框架,其包含管道,可以使用自定義模塊進行擴展,該模塊可以鏈接並相互交互以執行端到端分析。
  • 134 43?惡意軟件) - 存儲,標籤和搜索惡意軟件。
  • 376 60? POLICHOMBR) - 一個惡意軟件分析平台,旨在幫助分析師協作逆轉Malwares。
  • STOQ-分佈式內容分析框架,具有廣泛的插件支持,從輸入到輸出以及兩者之間的所有內容。
  • Viper-分析師和研究人員的二進制管理和分析框架。

各種各樣的

  • 6002 1178? Al-Khaser) - 一種POC惡意軟件,具有強調反惡意軟件系統的良好意圖。
  • 39 12? Cryptoknight) - 自動加密算法逆向工程和分類框架。
  • 306 59? DC3 -MWCP) - 國防網絡犯罪中心的惡意軟件配置解析器框架。
  • 6727 931? Flare VM) - 一個完全可自定義的基於Windows的,用於惡意軟件分析的安全性。
  • 537 198? malsploitbase) - 一個包含惡意軟件​​使用的利用的數據庫。
  • ?惡意軟件博物館 - 1980年代和1990年代分發的惡意軟件計劃的集合。
  • 1 0?惡意軟件組織者) - 將大型惡意/良性文件組織成有組織的結構的簡單工具。
  • 3464 467? Pafish) - 偏執魚,一種演示工具,採用多種技術來檢測沙箱和分析環境,就像惡意軟件家族一樣。
  • ? REMNUX-惡意軟件逆向工程和分析的Linux分發和Docker圖像。
  • ? Tsurugi Linux -Linux發行版旨在支持您的DFIR調查,惡意軟件分析和OSINT(開源智能)活動。
  • ? Santoku Linux-移動取證,惡意軟件分析和安全性的Linux發行版。

資源

圖書

基本惡意軟件分析閱讀材料。

  • ?學習惡意軟件分析 - 學習惡意軟件分析:探索與Windows惡意軟件的概念,工具和技術
  • ?惡意軟件分析師的食譜和DVD-與惡意代碼作鬥爭的工具和技術。
  • ?掌握惡意軟件分析 - 掌握惡意軟件分析:完整的惡意軟件分析師指南,《對抗惡意軟件,APT,網絡電視和物聯網攻擊
  • ?掌握逆向工程 - 掌握逆向工程:重新設計您的道德黑客技巧
  • ?實用的惡意軟件分析 - 動手指南剖析惡意軟件。
  • ?實用的逆向工程 - 中間逆向工程。
  • ?真正的數字取證 - 計算機安全和事件響應。
  • ? rootkits and Bootkit- rootkits and Bootkit:反向現代惡意軟件和下一代威脅
  • ?內存取證的藝術 - 檢測Windows,Linux和Mac內存中的惡意軟件和威脅。
  • ? IDA專業書籍 - 世界上最受歡迎的拆卸器的非官方指南。
  • ? Rootkit Arsenal- rootkit Arsenal:系統黑暗角落的逃生和逃避

其他

  • 1668 282? APT註釋) - 與高級持續威脅有關的論文和註釋集合。
  • 964 282? Ember) - 最終遊戲惡意軟件基準用於研究,該存儲庫很容易(重新)創建一個機器學習模型,該模型可用於基於靜態分析來預測PE文件的分數。
  • 10591 742?文件格式海報) - 常用文件格式(包括PE&Elf)的尼斯可視化。
  • 蜜網項目 - 蜜罐工具,論文和其他資源。
  • 內核模式 - 致力於惡意軟件分析和內核開發的活躍社區。
  • ?惡意軟件 - 惡意軟件博客和Lenny Zeltser的資源。
  • ?惡意軟件分析搜索 - Corey Harrell的自定義Google搜索引擎。
  • 惡意軟件分析教程 - Xiang Fu博士的惡意軟件分析教程,這是學習實用惡意軟件分析的重要資源。
  • ?惡意軟件分析,威脅智能和逆向工程 - 介紹介紹惡意軟件分析,威脅智能和逆向工程的概念。不需要經驗或先驗知識。描述中的實驗室鏈接。
  • 165 15?惡意軟件持久性) - 集中於惡意軟件持久性的各種信息的收集:檢測(技術),響應,陷阱和日誌收集(工具)。
  • 惡意軟件樣本和流量 - 此博客著重於與惡意軟件感染有關的網絡流量。
  • ?惡意軟件搜索+++ firefox擴展程序使您可以輕鬆搜索一些最受歡迎的惡意軟件數據庫
  • ?實用的惡意軟件分析入門套件 - 該軟件包包含實用惡意軟件分析書中引用的大多數軟件。
  • 3784 788? RPISEC惡意軟件分析) - 這些是2015年秋季在Rensselaer理工學院的惡意軟件分析課程中使用的課程材料。
  • Windowsir:惡意軟件 - 惡意軟件上的Harlan Carvey頁面。
  • 332 73? Windows註冊表規範) - Windows註冊文件格式規範。
  • ? /r/csirt_tools- csirt工具和資源的subreddit,帶有?惡意軟件分析天賦。
  • ? /r/惡意軟件 - 惡意軟件子雷迪特。
  • ? /r/reververswineering-反向工程subreddit,不僅限於惡意軟件。

相關的很棒列表

  • 8295 1455? Android安全)
  • 6387 742? AppSec)
  • 9945 1497? CTF)
  • 1233 107?可執行包裝)
  • 4039 632?取證)
  • 13362 1556? "駭客")
  • 8757 1267?蜜罐)
  • 1658 438?工業控制系統安全)
  • 7751 1537?事件響應)
  • 5229 739? infosec)
  • 3149 466? PCAP工具)
  • 22166 4493?灌腸)
  • 12586 1938?安全)
  • 8246 1499?威脅情報)
  • 3608 495? Yara)

貢獻

歡迎拉動請求和提出建議的問題!在提交公關之前,請閱讀貢獻指南。

謝謝

此列表由以下方式提供:

  • Lenny Zeltser和其他用於開發Remnux的貢獻者,我在此列表中找到了許多工具;
  • Michail Hale Ligh,Steven Adair,Blake Hartstein和Mather Richard撰寫了惡意軟件分析師的食譜,這是創建列表的重要靈感。
  • 還有其他所有發送拉動請求或建議鏈接的人都可以添加此處!

謝謝!

來源

12101 2585? rshipp/Awesome-Malware-Analysis)

展開
附加信息
相關應用
爲您推薦
相關資訊 全部