作者:recodeking
項目地址:https://github.com/recodeking/MalwareAnalysis
這個列表記錄著那些令人稱讚的惡意軟件分析工具和資源。受到 awesome-python 和 awesome-php 的啟迪。
惡意軟件分析大合集
惡意軟件集合
匿名代理
對於分析人員的 Web 流量匿名方案
- Anonymouse.org – 一個免費、基於 Web 的匿名代理
- OpenVPN – VPN 軟件和託管解決方案
- Privoxy – 一個帶有隱私保護功能的開源代理服務器
- Tor – 洋蔥路由器,為了在瀏覽網頁時不留下客戶端 IP 地址
蜜罐
捕獲和收集你自己的樣本
- Conpot – ICS/SCADA 蜜罐
- Cowrie – 基於 Kippo 的 SSH 蜜罐
- Dionaea – 用來捕獲惡意軟件的蜜罐
- Glastopf – Web 應用蜜罐
- Honeyd – 創建一個虛擬蜜罐
- HoneyDrive – 蜜罐包的 Linux 發行版
- Mnemosyne – 受 Dinoaea 支持的蜜罐數據標準化
- Thug – 用來調查惡意網站的低交互蜜罐
惡意軟件樣本庫
收集用於分析的惡意軟件樣本
- Clean MX – 惡意軟件和惡意域名的實時數據庫
- Contagio – 近期的惡意軟件樣本和分析的收集
- Exploit Database – Exploit 和 shellcode 樣本
- Malshare – 在惡意網站上得到的大量惡意樣本庫
- MalwareDB – 惡意軟件樣本庫
- Open Malware Project – 樣本信息和下載
- Ragpicker – 基於 malware crawler 的一個插件
- theZoo – 分析人員的實時惡意樣本庫
- Tracker h3x – Agregator 的惡意軟件跟蹤和下載地址
- ViruSign – 除 ClamAV 外的反病毒程序檢出的惡意軟件數據庫
- VirusShare – 惡意軟件庫
- VX Vault – 惡意軟件樣本的主動收集
- Zeltser’s Sources – 由 Lenny Zeltser 整理的惡意軟件樣本源列表
- Zeus Source Code – 2011 年 Zeus 源碼泄露
開源威脅情報
工具
收集、分析 IOC 信息
- AbuseHelper – 用於接收和重新分發威脅情報的開源框架
- AlienVault Open Threat Exchange – 威脅情報的共享與合作
- Combine – 從公開的信息源中得到威脅情報信息
- Fileintel – 文件情報
- Hostintel – 主機情報
- IntelMQ – CERT 使用消息隊列來處理應急數據的工具
- IOC Editor – Mandiant 出品的一個免費的 XML IOC 文件編輯器
- ioc_writer – 開發的用於 OpenIOC 對象的 Python 庫
- Massive Octo Spice – 由 CSIRT Gadgets Foundation發起,之前叫做 CIF (Collective Intelligence Framework),從各種信息源聚合 IOC 信息
- MISP – 由 The MISP Project 發起的惡意軟件信息共享平台
- PassiveTotal – 研究、鏈接、標註和分享 IP 與 域名
- PyIOCe – 一個 Python OpenIOC 編輯器
- threataggregator – 聚合來自多個信息源的安全威脅,包括 other resources 列表中的一些
- ThreatCrowd – 帶有圖形可視化的威脅搜索引擎
- TIQ-test – 威脅情報源的數據可視化和統計分析
其他資源
威脅情報和 IOC 資源
- Autoshun (list) – Snort 插件和黑名單
- Bambenek Consulting Feeds – 基於惡意 DGA 算法的 OSINT 訂閱
- Fidelis Barncat – 可擴展的惡意軟件配置數據庫(必須有請求權限)
- CI Army (list) – 網絡安全黑名單
- Critical Stack- Free Intel Market – 免費的英特爾去重聚合項目,有超過 90 種訂閱以及超過一百二十萬個威脅情報信息
- CRDF ThreatCenter – 由 CRDF 提供的新威脅檢出
- Cybercrime tracker – 多個殭屍網絡的活動跟蹤
- FireEye IOCs – 由 FireEye 共享的 IOC 信息
- FireHOL IP Lists – 針對攻擊、惡意軟件的更改歷史、國家地圖和保留政策的 350+ IP 的跟蹤
- hpfeeds – 蜜罐訂閱協議
- Internet Storm Center (DShield) – 日誌和可搜索的事件數據庫,並且帶有 Web API(非官方 Python 庫).
- malc0de – 搜索事件數據庫
- Malware Domain List – 搜索和分享惡意軟件 URL
- OpenIOC – 威脅情報共享框架
- Palevo Blocklists – 蜜罐 C&C 黑名單
- Proofpoint Threat Intelligence – 以前新興威脅的規則集
- Ransomware overview – 勒索軟件的概述列表
- STIX – Structured Threat Information eXpression – 通過標準化的語言來表示、共享網絡威脅信息
MITRE 相關: - CAPEC – 常見攻擊模式枚舉與分類
- CybOX – 網絡觀測 eXpression
- MAEC – 惡意軟件特徵枚舉與界定
- TAXII – 可信的指標信息自動化交換
- threatRECON – 搜索指標,每月最多一千次
- Yara rules – Yara 規則集
- ZeuS Tracker – ZeuS 黑名單
檢測與分類
反病毒和其他惡意軟件識別工具
- AnalyzePE – Windows PE 文件的分析器
- chkrootkit – 本地 Linux rootkit 檢測
- ClamAV – 開源反病毒引擎
- Detect-It-Easy – 用於確定文件類型的程序
- ExifTool – 讀、寫、編輯文件的元數據
- File Scanning Framework – 模塊化的遞歸文件掃描解決方案
- hashdeep – 用各種算法計算哈希值
- Loki – 基於主機的 IOC 掃描器
- Malfunction – 在功能層面對惡意軟件進行分類和比較
- MASTIFF – 靜態分析框架
- MultiScanner – 模塊化文件掃描/分析框架
- nsrllookup – 查詢 NIST’s National Software Reference Library 數據庫中哈希的工具
- packerid – 跨平台的 PEiD 的替代品
- PEV – 為正確分析可疑的二進制文件提供功能豐富工具的 PE 文件多平台分析工具集
- Rootkit Hunter – 檢測 Linux 的 rootkits
- ssdeep – 計算模糊哈希值
- totalhash.py – 一個簡單搜索TotalHash.com 數據庫的 Python 腳本
- TrID – 文件識別
- YARA – 分析師利用的模式識別工具
- Yara rules generator – 基於惡意樣本生成 yara 規則,也包含避免誤報的字符串數據庫
在線掃描與沙盒
基於 Web 的多反病毒引擎掃描器和惡意軟件自動分析的沙盒
- APK Analyzer – APK 免費動態分析
- AndroTotal – 利用多個移動反病毒軟件進行免費在線分析 App
- AVCaesar – Malware.lu 在線掃描器和惡意軟件集合
- Cryptam – 分析可疑的 Office 文檔
- Cuckoo Sandbox – 開源、自主的沙盒和自動分析系統
- cuckoo-modified – GPL 許可證的 Cuckoo 沙盒的修改版,由於法律原因作者沒有將其分支合併
- cuckoo-modified-api – 用於控制 cuckoo-modified 沙盒的 Python API
- DeepViz – 通過機器學習分類來分析的多格式文件分析器
- detux – 一個用於對 Linux 惡意軟件流量分析與 IOC 信息捕獲的沙盒
- Document Analyzer – DOC 和 PDF 文件的免費動態分析
- DRAKVUF – 動態惡意軟件分析系統
- File Analyzer – 免費 PE 文件動態分析
- firmware.re – 解包、掃描、分析絕大多數固件包
- Hybrid Analysis – 由 VxSandbox 支持的在線惡意軟件分析工具
- IRMA – 異步、可定製的可疑文件分析平台
- Joe Sandbox – 深度惡意軟件分析
- Jotti – 免費在線多反病毒引擎掃描器
- Limon – 分析 Linux 惡意軟件的沙盒
- Malheur – 惡意行為的自動化沙盒分析
- Malware config – 從常見的惡意軟件提取、解碼和在線配置
- Malwr – 免費的在線 Cuckoo 沙盒分析實例
- MASTIFF Online – 在線惡意軟件靜態分析
- Metadefender.com – 掃描文件、哈希或惡意軟件的 IP 地址
- NetworkTotal – 一個分析 pcap 文件的服務,使用配置了 EmergingThreats Pro 的Suricata 快速檢測病毒、蠕蟲、木馬和各種惡意軟件
- Noriben – 使用 Sysinternals Procmon 收集惡意軟件在沙盒環境下的進程信息
- PDF Examiner – 收集可疑的 PDF 文件
- ProcDot – 一個可視化惡意軟件分析工具集
- Recomposer – 安全上傳二進製程序到沙盒網站的輔助腳本
- Sand droid – 自動化、完整的 Android 應用程序分析系統
- SEE – 在安全環境中構建測試自動化的框架
- URL Analyzer – 對 URL 文件的動態分析
- VirusTotal – 免費的在線惡意軟件樣本和 URL 分析
- Visualize_Logs – 用於日誌的開源可視化庫和命令行工具(Cuckoo、Procmon 等)
- Zeltser’s List – Lenny Zeltser 創建的免費自動沙盒服務
域名分析
檢查域名和 IP 地址
- Desenmascara.me – 一鍵點擊即可得到儘可能多的檢索元數據以評估一個網站的信譽度
- Dig – 免費的在線 dig 以及其他網絡工具
- dnstwist – 用於檢測釣魚網站和公司間諜活動的域名排名網站
- IPinfo – 通過搜索在線資源收集關於 IP 或 域名的信息
- Machinae – 類似 Automator 的 OSINT 工具,用於收集有關 URL、IP 或哈希的信息
- mailchecker – 跨語言臨時郵件檢測庫
- MaltegoVT – 讓 Maltego 使用 VirusTotal API,允許搜索域名、IP 地址、文件哈希、報告
- Multi rbl – 多個 DNS 黑名單,反向查找超過 300 個 RBL。
- SenderBase – 搜索 IP、域名或網絡的所有者
- SpamCop – 垃圾郵件 IP 黑名單IP
- SpamHaus – 基於域名和 IP 的黑名單
- Sucuri SiteCheck – 免費的網站惡意軟件與安全掃描器
- TekDefense Automator – 收集關於 URL、IP 和哈希值的 OSINT 工具
- URLQuery – 免費的 URL 掃描器
- Whois – DomainTools 家免費的 whois 搜索
- Zeltser’s List – 由 Lenny Zeltser 整理的免費在線惡意軟件工具集
- ZScalar Zulu – Zulu URL 風險分析
瀏覽器惡意軟件
分析惡意 URL,也可以參考 domain analysis 和 documents and shellcode 部分
- Firebug – Firefox Web 開發擴展
- Java Decompiler – 反編譯並檢查 Java 的應用
- Java IDX Parser – 解析 Java IDX 緩存文件
- JSDetox – JavaScript 惡意軟件分析工具
- jsunpack-n – 一個 javascript 解壓軟件,可以模擬瀏覽器功能
- Krakatau – Java 的反編譯器、彙編器與反彙編器
- Malzilla – 分析惡意 Web 頁面
- RABCDAsm – 一個健壯的 ActionScript 字節碼反彙編
- swftools – PDF 轉換成 SWF 的工具
- xxxswf – 分析 Flash 文件的 Python 腳本
文檔和 Shellcode
在 PDF、Office 文檔中分析惡意 JS 和 Shellcode,也可參考browser malware 部分
- AnalyzePDF – 分析 PDF 並嘗試判斷其是否是惡意文件的工具
- box-js – 用於研究 JavaScript 惡意軟件的工具,支持 JScript/WScript 和 ActiveX 仿真功能
- diStorm – 分析惡意 Shellcode 的反彙編器
- JS Beautifier – JavaScript 脫殼和去混淆
- JS Deobfuscator – 對那些使用 eval 或 document.write 的簡單 Javascript 去混淆
- libemu – x86 shellcode 仿真的庫和工具
- malpdfobj – 解構惡意 PDF 為 JSON 表示
- OfficeMalScanner – 掃描 MS Office 文檔中的惡意跟蹤
- olevba – 解析 OLE 和 OpenXML 文檔,並提取有用信息的腳本
- Origami PDF – 一個分析惡意 PDF 的工具
- PDF Tools – Didier Stevens 開發的許多關於 PDF 的工具
- PDF X-Ray Lite – PDF 分析工具,PDF X-RAY 的無後端版本
- peepdf – 用來探索可能是惡意的 PDF 的 Python 工具
- QuickSand – QuickSand 是一個緊湊的 C 框架,用於分析可疑的惡意軟件文檔,以識別不同編碼流中的漏洞,並定位和提取嵌入的可執行文件
- Spidermonkey – Mozilla 的 JavaScript 引擎,用來調試可疑 JS 代碼
文件提取
從硬盤和內存鏡像中提取文件
- bulk_extractor – 快速文件提取工具
- EVTXtract – 從原始二進制數據提取 Windows 事件日誌文件
- Foremost – 由 US Air Force 設計的文件提取工具
- Hachoir – 處理二進製程序的 Python 庫的集合
- Scalpel – 另一個數據提取工具
去混淆
破解異或或其它代碼混淆方法
- Balbuzard – 去除混淆(XOR、ROL等)的惡意軟件分析工具
- de4dot – .NET 去混淆與脫殼
- ex_pe_xor 和 iheartxor – Alexander Hanel 開發的用於去除單字節異或編碼的文件的兩個工具
- FLOSS – FireEye 實驗室的混淆字符串求解工具,使用高級靜態分析技術來自動去除惡意軟件二進制文件中的字符串
- NoMoreXOR – 通過頻率分析來猜測一個 256 字節的異或密鑰
- PackerAttacker – Windows 惡意軟件的通用隱藏代碼提取程序
- unpacker – 基於 WinAppDbg 的自動 Windows 惡意軟件脫殼器
- unxor – 通過已知明文攻擊來猜測一個異或密鑰
- VirtualDeobfuscator – 虛擬逆向分析工具
- XORBruteForcer – 爆破單字節異或密鑰的 Python 腳本
- XORSearch 和 XORStrings – Didier Stevens 開發的用於尋找異或混淆后數據的兩個工具
- xortool – 猜測異或密鑰和密鑰的長度
調試和逆向工程
反編譯器、調試器和其他靜態、動態分析工具
- angr – UCSB 的安全實驗室開發的跨平台二進制分析框架
- bamfdetect – 識別和提取奇迹人和其他惡意軟件的信息
- BAP – CMU 的安全實驗室開發的跨平台開源二進制分析框架
- BARF – 跨平台、開源二進制分析逆向框架
- binnavi – 基於圖形可視化的二進制分析 IDE
- Binwalk – 固件分析工具
- Bokken – Pyew 和 Radare 的界面版
- Capstone – 二進制分析反彙編框架,支持多種架構和許多語言
- codebro – 使用 clang 提供基礎代碼分析的 Web 端代碼瀏覽器
- dnSpy – .NET 編輯器、編譯器、調試器
- Evan’s Debugger (EDB) – Qt GUI 程序的模塊化調試器
- Fibratus – 探索、跟蹤 Windows 內核的工具
- FPort – 實時查看系統中打開的 TCP/IP 和 UDP 端口,並映射到應用程序
- GDB – GNU 調試器
- GEF – 針對開發人員和逆向工程師的 GDB 增強版
- hackers-grep – 用來搜索 PE 程序中的導入表、導出表、字符串、調試符號
- IDA Pro – Windows 反彙編和調試器,有免費評估版
- Immunity Debugger – 帶有 Python API 的惡意軟件調試器
- ltrace – Linux 可執行文件的動態分析
- objdump – GNU 工具集的一部分,面向 Linux 二進製程序的靜態分析
- OllyDbg – Windows 可執行程序彙編級調試器
- PANDA – 動態分析平台
- PEDA – 基於 GDB 的 Pythton Exploit 開發輔助工具,增強顯示及增強的命令
- pestudio – Windows 可執行程序的靜態分析
- plasma – 面向 x86/ARM/MIPS 的交互式反彙編器
- PPEE (puppy) – 專業的 PE 文件資源管理器
- Process Explorer – 高級 Windows 任務管理器
- Process Monitor – Windows 下高級程序監控工具
- PSTools – 可以幫助管理員實時管理系統的 Windows 命令行工具
- Pyew – 惡意軟件分析的 Python 工具
- Radare2 – 帶有調試器支持的逆向工程框架
- RetDec – 可重定向的機器碼反編譯器,同時有在線反編譯服務和 API
- ROPMEMU – 分析、解析、反編譯複雜的代碼重用攻擊的框架
- SMRT – Sublime 3 中輔助惡意軟件分析的插件
- strace – Linux 可執行文件的動態分析
- Triton – 一個動態二進制分析框架
- Udis86 – x86 和 x86_64 的反彙編庫和工具
- Vivisect – 惡意軟件分析的 Python 工具
- X64dbg – Windows 的一個開源 x64/x32 調試器
網絡
分析網絡交互
- Bro – 支持驚人規模的文件和網絡協議的協議分析工具
- BroYara – 基於 Bro 的 Yara 規則集
- CapTipper – 惡意 HTTP 流量管理器
- chopshop – 協議分析和解碼框架
- Fiddler – 專為 Web 調試開發的 Web 代理
- Hale – 殭屍網絡 C&C 監視器
- Haka – 一個安全導向的開源語言,用於在實時流量捕獲時描述協議、應用安全策略
- INetSim – 網絡服務模擬。建設一個惡意軟件分析實驗室十分有用
- Laika BOSS – Laika BOSS 是一種以文件為中心的惡意軟件分析和入侵檢測系統
- Malcom – 惡意軟件通信分析儀
- Maltrail – 一個惡意流量檢測系統,利用公開的黑名單來檢測惡意和可疑的通信流量,帶有一個報告和分析界面
- mitmproxy – 攔截網絡流量通信
- Moloch – IPv4 流量捕獲,帶有索引和數據庫系統
- NetworkMiner – 有免費版本的網絡取證分析工具
- ngrep – 像 grep 一樣收集網絡流量
- PcapViz – 網絡拓撲與流量可視化
- Tcpdump – 收集網絡流
- tcpick – 從網絡流量中重構 TCP 流
- tcpxtract – 從網絡流量中提取文件
- Wireshark – 網絡流量分析工具
內存取證
在內存映像或正在運行的系統中分析惡意軟件的工具
- BlackLight – 支持 hiberfil、pagefile 與原始內存分析的 Windows / MacOS 取證客戶端
- DAMM – 基於 Volatility 的內存中惡意軟件的差異分析
- evolve – 用於 Volatility Memory 取證框架的 Web 界面
- FindAES – 在內存中尋找 AES 加密密鑰
- Muninn – 一個使用 Volatility 的自動化分析腳本,可以生成一份可讀報告
- Rekall – 內存分析框架,2013 年 Volatility 的分支版本
- TotalRecall – 基於 Volatility 自動執行多惡意樣本分析任務的腳本
- VolDiff – 在惡意軟件執行前後,在內存映像中運行 Volatility 並生成對比報告
- Volatility – 先進的內存取證框架
- VolUtility – Volatility 內存分析框架的 Web 接口
- WinDbg – Windows 系統的實時內存檢查和內核調試工具
Windows 神器
- AChoir – 一個用來收集 Windows 實時事件響應腳本集
- python-evt – 用來解析 Windows 事件日誌的 Python 庫
- python-registry – 用於解析註冊表文件的 Python 庫
- RegRipper (GitHub) – 基於插件集的工具
存儲和工作流
- Aleph – 開源惡意軟件分析管道系統
- CRITs – 關於威脅、惡意軟件的合作研究
- Malwarehouse – 存儲、標註與搜索惡意軟件
- Polichombr – 一個惡意軟件分析平台,旨在幫助分析師逆向惡意軟件。
- stoQ – 分佈式內容分析框架,具有廣泛的插件支持
- Viper – 分析人員的二進制管理和分析框架
雜項
- al-khaser – 一個旨在突出反惡意軟件系統的 PoC 惡意軟件
- Binarly – 海量惡意軟件字節的搜索引擎
- DC3-MWCP – 反網絡犯罪中心的惡意軟件配置解析框架
- MalSploitBase – 包含惡意軟件利用的漏洞的數據庫
- Malware Museum – 收集 20 世紀八九十年代流行的惡意軟件
- Pafish – Paranoid Fish,與惡意軟件家族的行為一致,採用多種技術來檢測沙盒和分析環境的演示工具
- REMnux – 面向惡意軟件逆向工程師和分析人員的 Linux 發行版和 Docker 鏡像
- Santoku Linux – 移動取證的 Linux 發行版
資源
書籍
基礎惡意軟件分析閱讀書單
- Malware Analyst’s Cookbook and DVD – 打擊惡意代碼的工具和技術
- Practical Malware Analysis – 剖析惡意軟件的手邊書
- Real Digital Forensics – 計算機安全與應急響應
- The Art of Memory Forensics – 在 Windows、Linux 和 Mac 系統的內存中檢測惡意軟件和威脅
- The IDA Pro Book – 世界上最流行的反彙編器的非官方指南
- Real Digital Forensics – 用於移動取證、惡意軟件分析的 Linux 發行版
一些相關的 Twitter 賬戶
- Adamb @Hexacorn
- Andrew Case @attrc
- Binni Shah @binitamshah
- Claudio @botherder
- Dustin Webber @mephux
- Glenn @hiddenillusion
- jekil @jekil
- Jurriaan Bremer @skier_t
- Lenny Zeltser @lennyzeltser
- Liam Randall @hectaman
- Mark Schloesser @repmovsb
- Michael Ligh (MHL) @iMHLv2
- Monnappa @monnappa22
- Open Malware @OpenMalware
- Richard Bejtlich @taosecurity
- Volatility @volatility
其它
- APT Notes – 一個收集 APT 相關文獻的合輯
- File Formats posters – 常用文件格式的可視化(包括 PE 與 ELF)
- Honeynet Project – 蜜罐工具、論文和其他資源
- Kernel Mode – 一個致力於惡意軟件分析和內核開發的活躍社區
- Malicious Software – Lenny Zeltser 的惡意軟件博客和資源
- Malware Analysis Search – Corey Harrell 自定義的用於惡意軟件分析的 Google 搜索
- Malware Analysis Tutorials – 由 Xiang Fu 博士提供的惡意軟件分析教程,是一個學習惡意軟件分析的重要資源
- Malware Samples and Traffic – 此博客重點介紹與惡意軟件感染相關的網絡流量
- Practical Malware Analysis Starter Kit – 此軟件包包含 Practical Malware Analysis 書中引用的大多數軟件
- WindowsIR: Malware – Harlan Carvey 的惡意軟件頁面
- /r/csirt_tools – CSIRT 工具和資源的子版塊,講惡意軟件分析的天才
- /r/Malware – 惡意軟件的子版塊
- /r/ReverseEngineering – 逆向工程子版塊,不僅限於惡意軟件
相關 Awesome 清單
- Android Security
- AppSec
- CTFs
- Forensics
- “Hacking”
- Honeypots
- Industrial Control System Security
- Incident-Response
- Infosec
- PCAP Tools
- Pentesting
- Security
- Threat Intelligence
貢獻
歡迎提出問題或者 Pull requests!請在提交 Pull request 之前閱讀 CONTRIBUTING。
致謝
這個列表需要感謝如下一些人:
- Lenny Zeltser 和 REMnux 的其他開發者貢獻了這個列表中很多工具
- Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 著有 Malware Analyst’s Cookbook,這本書為這個列表的創建提供了很大的靈感
- 每一個提交 Pull request 以及提出建議的人
十分感謝!