最新消息:图 床
    你的位置:IAMCOOL > COOL > 惡意軟件分析大合集

    惡意軟件分析大合集

    COOL IAM 643浏览 0评论

    作者:recodeking

    項目地址:https://github.com/recodeking/MalwareAnalysis

    這個列表記錄著那些令人稱讚的惡意軟件分析工具和資源。受到 awesome-pythonawesome-php 的啟迪。

    惡意軟件分析大合集

    惡意軟件集合

    匿名代理

    對於分析人員的 Web 流量匿名方案

    • Anonymouse.org – 一個免費、基於 Web 的匿名代理
    • OpenVPN – VPN 軟件和託管解決方案
    • Privoxy – 一個帶有隱私保護功能的開源代理服務器
    • Tor – 洋蔥路由器,為了在瀏覽網頁時不留下客戶端 IP 地址
    蜜罐

    捕獲和收集你自己的樣本

    • Conpot – ICS/SCADA 蜜罐
    • Cowrie – 基於 Kippo 的 SSH 蜜罐
    • Dionaea – 用來捕獲惡意軟件的蜜罐
    • Glastopf – Web 應用蜜罐
    • Honeyd – 創建一個虛擬蜜罐
    • HoneyDrive – 蜜罐包的 Linux 發行版
    • Mnemosyne – 受 Dinoaea 支持的蜜罐數據標準化
    • Thug – 用來調查惡意網站的低交互蜜罐
    惡意軟件樣本庫

    收集用於分析的惡意軟件樣本

    開源威脅情報

    工具

    收集、分析 IOC 信息

    其他資源

    威脅情報和 IOC 資源

    檢測與分類

    反病毒和其他惡意軟件識別工具

    • AnalyzePE – Windows PE 文件的分析器
    • chkrootkit – 本地 Linux rootkit 檢測
    • ClamAV – 開源反病毒引擎
    • Detect-It-Easy – 用於確定文件類型的程序
    • ExifTool – 讀、寫、編輯文件的元數據
    • File Scanning Framework – 模塊化的遞歸文件掃描解決方案
    • hashdeep – 用各種算法計算哈希值
    • Loki – 基於主機的 IOC 掃描器
    • Malfunction – 在功能層面對惡意軟件進行分類和比較
    • MASTIFF – 靜態分析框架
    • MultiScanner – 模塊化文件掃描/分析框架
    • nsrllookup – 查詢 NIST’s National Software Reference Library 數據庫中哈希的工具
    • packerid – 跨平台的 PEiD 的替代品
    • PEV – 為正確分析可疑的二進制文件提供功能豐富工具的 PE 文件多平台分析工具集
    • Rootkit Hunter – 檢測 Linux 的 rootkits
    • ssdeep – 計算模糊哈希值
    • totalhash.py – 一個簡單搜索TotalHash.com 數據庫的 Python 腳本
    • TrID – 文件識別
    • YARA – 分析師利用的模式識別工具
    • Yara rules generator – 基於惡意樣本生成 yara 規則,也包含避免誤報的字符串數據庫

    在線掃描與沙盒

    基於 Web 的多反病毒引擎掃描器和惡意軟件自動分析的沙盒

    • APK Analyzer – APK 免費動態分析
    • AndroTotal – 利用多個移動反病毒軟件進行免費在線分析 App
    • AVCaesar – Malware.lu 在線掃描器和惡意軟件集合
    • Cryptam – 分析可疑的 Office 文檔
    • Cuckoo Sandbox – 開源、自主的沙盒和自動分析系統
    • cuckoo-modified – GPL 許可證的 Cuckoo 沙盒的修改版,由於法律原因作者沒有將其分支合併
    • cuckoo-modified-api – 用於控制 cuckoo-modified 沙盒的 Python API
    • DeepViz – 通過機器學習分類來分析的多格式文件分析器
    • detux – 一個用於對 Linux 惡意軟件流量分析與 IOC 信息捕獲的沙盒
    • Document Analyzer – DOC 和 PDF 文件的免費動態分析
    • DRAKVUF – 動態惡意軟件分析系統
    • File Analyzer – 免費 PE 文件動態分析
    • firmware.re – 解包、掃描、分析絕大多數固件包
    • Hybrid Analysis – 由 VxSandbox 支持的在線惡意軟件分析工具
    • IRMA – 異步、可定製的可疑文件分析平台
    • Joe Sandbox – 深度惡意軟件分析
    • Jotti – 免費在線多反病毒引擎掃描器
    • Limon – 分析 Linux 惡意軟件的沙盒
    • Malheur – 惡意行為的自動化沙盒分析
    • Malware config – 從常見的惡意軟件提取、解碼和在線配置
    • Malwr – 免費的在線 Cuckoo 沙盒分析實例
    • MASTIFF Online – 在線惡意軟件靜態分析
    • Metadefender.com – 掃描文件、哈希或惡意軟件的 IP 地址
    • NetworkTotal – 一個分析 pcap 文件的服務,使用配置了 EmergingThreats Pro 的Suricata 快速檢測病毒、蠕蟲、木馬和各種惡意軟件
    • Noriben – 使用 Sysinternals Procmon 收集惡意軟件在沙盒環境下的進程信息
    • PDF Examiner – 收集可疑的 PDF 文件
    • ProcDot – 一個可視化惡意軟件分析工具集
    • Recomposer – 安全上傳二進製程序到沙盒網站的輔助腳本
    • Sand droid – 自動化、完整的 Android 應用程序分析系統
    • SEE – 在安全環境中構建測試自動化的框架
    • URL Analyzer – 對 URL 文件的動態分析
    • VirusTotal – 免費的在線惡意軟件樣本和 URL 分析
    • Visualize_Logs – 用於日誌的開源可視化庫和命令行工具(Cuckoo、Procmon 等)
    • Zeltser’s List – Lenny Zeltser 創建的免費自動沙盒服務

    域名分析

    檢查域名和 IP 地址

    • Desenmascara.me – 一鍵點擊即可得到儘可能多的檢索元數據以評估一個網站的信譽度
    • Dig – 免費的在線 dig 以及其他網絡工具
    • dnstwist – 用於檢測釣魚網站和公司間諜活動的域名排名網站
    • IPinfo – 通過搜索在線資源收集關於 IP 或 域名的信息
    • Machinae – 類似 Automator 的 OSINT 工具,用於收集有關 URL、IP 或哈希的信息
    • mailchecker – 跨語言臨時郵件檢測庫
    • MaltegoVT – 讓 Maltego 使用 VirusTotal API,允許搜索域名、IP 地址、文件哈希、報告
    • Multi rbl – 多個 DNS 黑名單,反向查找超過 300 個 RBL。
    • SenderBase – 搜索 IP、域名或網絡的所有者
    • SpamCop – 垃圾郵件 IP 黑名單IP
    • SpamHaus – 基於域名和 IP 的黑名單
    • Sucuri SiteCheck – 免費的網站惡意軟件與安全掃描器
    • TekDefense Automator – 收集關於 URL、IP 和哈希值的 OSINT 工具
    • URLQuery – 免費的 URL 掃描器
    • Whois – DomainTools 家免費的 whois 搜索
    • Zeltser’s List – 由 Lenny Zeltser 整理的免費在線惡意軟件工具集
    • ZScalar Zulu – Zulu URL 風險分析

    瀏覽器惡意軟件

    分析惡意 URL,也可以參考 domain analysisdocuments and shellcode 部分

    • Firebug – Firefox Web 開發擴展
    • Java Decompiler – 反編譯並檢查 Java 的應用
    • Java IDX Parser – 解析 Java IDX 緩存文件
    • JSDetox – JavaScript 惡意軟件分析工具
    • jsunpack-n – 一個 javascript 解壓軟件,可以模擬瀏覽器功能
    • Krakatau – Java 的反編譯器、彙編器與反彙編器
    • Malzilla – 分析惡意 Web 頁面
    • RABCDAsm – 一個健壯的 ActionScript 字節碼反彙編
    • swftools – PDF 轉換成 SWF 的工具
    • xxxswf – 分析 Flash 文件的 Python 腳本

    文檔和 Shellcode

    在 PDF、Office 文檔中分析惡意 JS 和 Shellcode,也可參考browser malware 部分

    • AnalyzePDF – 分析 PDF 並嘗試判斷其是否是惡意文件的工具
    • box-js – 用於研究 JavaScript 惡意軟件的工具,支持 JScript/WScript 和 ActiveX 仿真功能
    • diStorm – 分析惡意 Shellcode 的反彙編器
    • JS Beautifier – JavaScript 脫殼和去混淆
    • JS Deobfuscator – 對那些使用 eval 或 document.write 的簡單 Javascript 去混淆
    • libemu – x86 shellcode 仿真的庫和工具
    • malpdfobj – 解構惡意 PDF 為 JSON 表示
    • OfficeMalScanner – 掃描 MS Office 文檔中的惡意跟蹤
    • olevba – 解析 OLE 和 OpenXML 文檔,並提取有用信息的腳本
    • Origami PDF – 一個分析惡意 PDF 的工具
    • PDF Tools – Didier Stevens 開發的許多關於 PDF 的工具
    • PDF X-Ray Lite – PDF 分析工具,PDF X-RAY 的無後端版本
    • peepdf – 用來探索可能是惡意的 PDF 的 Python 工具
    • QuickSand – QuickSand 是一個緊湊的 C 框架,用於分析可疑的惡意軟件文檔,以識別不同編碼流中的漏洞,並定位和提取嵌入的可執行文件
    • Spidermonkey – Mozilla 的 JavaScript 引擎,用來調試可疑 JS 代碼

    文件提取

    從硬盤和內存鏡像中提取文件

    • bulk_extractor – 快速文件提取工具
    • EVTXtract – 從原始二進制數據提取 Windows 事件日誌文件
    • Foremost – 由 US Air Force 設計的文件提取工具
    • Hachoir – 處理二進製程序的 Python 庫的集合
    • Scalpel – 另一個數據提取工具

    去混淆

    破解異或或其它代碼混淆方法

    • Balbuzard – 去除混淆(XOR、ROL等)的惡意軟件分析工具
    • de4dot – .NET 去混淆與脫殼
    • ex_pe_xoriheartxor – Alexander Hanel 開發的用於去除單字節異或編碼的文件的兩個工具
    • FLOSS – FireEye 實驗室的混淆字符串求解工具,使用高級靜態分析技術來自動去除惡意軟件二進制文件中的字符串
    • NoMoreXOR – 通過頻率分析來猜測一個 256 字節的異或密鑰
    • PackerAttacker – Windows 惡意軟件的通用隱藏代碼提取程序
    • unpacker – 基於 WinAppDbg 的自動 Windows 惡意軟件脫殼器
    • unxor – 通過已知明文攻擊來猜測一個異或密鑰
    • VirtualDeobfuscator – 虛擬逆向分析工具
    • XORBruteForcer – 爆破單字節異或密鑰的 Python 腳本
    • XORSearch 和 XORStrings – Didier Stevens 開發的用於尋找異或混淆后數據的兩個工具
    • xortool – 猜測異或密鑰和密鑰的長度

    調試和逆向工程

    反編譯器、調試器和其他靜態、動態分析工具

    • angr – UCSB 的安全實驗室開發的跨平台二進制分析框架
    • bamfdetect – 識別和提取奇迹人和其他惡意軟件的信息
    • BAP – CMU 的安全實驗室開發的跨平台開源二進制分析框架
    • BARF – 跨平台、開源二進制分析逆向框架
    • binnavi – 基於圖形可視化的二進制分析 IDE
    • Binwalk – 固件分析工具
    • Bokken – Pyew 和 Radare 的界面版
    • Capstone – 二進制分析反彙編框架,支持多種架構和許多語言
    • codebro – 使用 clang 提供基礎代碼分析的 Web 端代碼瀏覽器
    • dnSpy – .NET 編輯器、編譯器、調試器
    • Evan’s Debugger (EDB) – Qt GUI 程序的模塊化調試器
    • Fibratus – 探索、跟蹤 Windows 內核的工具
    • FPort – 實時查看系統中打開的 TCP/IP 和 UDP 端口,並映射到應用程序
    • GDB – GNU 調試器
    • GEF – 針對開發人員和逆向工程師的 GDB 增強版
    • hackers-grep – 用來搜索 PE 程序中的導入表、導出表、字符串、調試符號
    • IDA Pro – Windows 反彙編和調試器,有免費評估版
    • Immunity Debugger – 帶有 Python API 的惡意軟件調試器
    • ltrace – Linux 可執行文件的動態分析
    • objdump – GNU 工具集的一部分,面向 Linux 二進製程序的靜態分析
    • OllyDbg – Windows 可執行程序彙編級調試器
    • PANDA – 動態分析平台
    • PEDA – 基於 GDB 的 Pythton Exploit 開發輔助工具,增強顯示及增強的命令
    • pestudio – Windows 可執行程序的靜態分析
    • plasma – 面向 x86/ARM/MIPS 的交互式反彙編器
    • PPEE (puppy) – 專業的 PE 文件資源管理器
    • Process Explorer – 高級 Windows 任務管理器
    • Process Monitor – Windows 下高級程序監控工具
    • PSTools – 可以幫助管理員實時管理系統的 Windows 命令行工具
    • Pyew – 惡意軟件分析的 Python 工具
    • Radare2 – 帶有調試器支持的逆向工程框架
    • RetDec – 可重定向的機器碼反編譯器,同時有在線反編譯服務和 API
    • ROPMEMU – 分析、解析、反編譯複雜的代碼重用攻擊的框架
    • SMRT – Sublime 3 中輔助惡意軟件分析的插件
    • strace – Linux 可執行文件的動態分析
    • Triton – 一個動態二進制分析框架
    • Udis86 – x86 和 x86_64 的反彙編庫和工具
    • Vivisect – 惡意軟件分析的 Python 工具
    • X64dbg – Windows 的一個開源 x64/x32 調試器

    網絡

    分析網絡交互

    • Bro – 支持驚人規模的文件和網絡協議的協議分析工具
    • BroYara – 基於 Bro 的 Yara 規則集
    • CapTipper – 惡意 HTTP 流量管理器
    • chopshop – 協議分析和解碼框架
    • Fiddler – 專為 Web 調試開發的 Web 代理
    • Hale – 殭屍網絡 C&C 監視器
    • Haka – 一個安全導向的開源語言,用於在實時流量捕獲時描述協議、應用安全策略
    • INetSim – 網絡服務模擬。建設一個惡意軟件分析實驗室十分有用
    • Laika BOSS – Laika BOSS 是一種以文件為中心的惡意軟件分析和入侵檢測系統
    • Malcom – 惡意軟件通信分析儀
    • Maltrail – 一個惡意流量檢測系統,利用公開的黑名單來檢測惡意和可疑的通信流量,帶有一個報告和分析界面
    • mitmproxy – 攔截網絡流量通信
    • Moloch – IPv4 流量捕獲,帶有索引和數據庫系統
    • NetworkMiner – 有免費版本的網絡取證分析工具
    • ngrep – 像 grep 一樣收集網絡流量
    • PcapViz – 網絡拓撲與流量可視化
    • Tcpdump – 收集網絡流
    • tcpick – 從網絡流量中重構 TCP 流
    • tcpxtract – 從網絡流量中提取文件
    • Wireshark – 網絡流量分析工具

    內存取證

    在內存映像或正在運行的系統中分析惡意軟件的工具

    • BlackLight – 支持 hiberfil、pagefile 與原始內存分析的 Windows / MacOS 取證客戶端
    • DAMM – 基於 Volatility 的內存中惡意軟件的差異分析
    • evolve – 用於 Volatility Memory 取證框架的 Web 界面
    • FindAES – 在內存中尋找 AES 加密密鑰
    • Muninn – 一個使用 Volatility 的自動化分析腳本,可以生成一份可讀報告
    • Rekall – 內存分析框架,2013 年 Volatility 的分支版本
    • TotalRecall – 基於 Volatility 自動執行多惡意樣本分析任務的腳本
    • VolDiff – 在惡意軟件執行前後,在內存映像中運行 Volatility 並生成對比報告
    • Volatility – 先進的內存取證框架
    • VolUtility – Volatility 內存分析框架的 Web 接口
    • WinDbg – Windows 系統的實時內存檢查和內核調試工具

    Windows 神器

    • AChoir – 一個用來收集 Windows 實時事件響應腳本集
    • python-evt – 用來解析 Windows 事件日誌的 Python 庫
    • python-registry – 用於解析註冊表文件的 Python 庫
    • RegRipper (GitHub) – 基於插件集的工具

    存儲和工作流

    • Aleph – 開源惡意軟件分析管道系統
    • CRITs – 關於威脅、惡意軟件的合作研究
    • Malwarehouse – 存儲、標註與搜索惡意軟件
    • Polichombr – 一個惡意軟件分析平台,旨在幫助分析師逆向惡意軟件。
    • stoQ – 分佈式內容分析框架,具有廣泛的插件支持
    • Viper – 分析人員的二進制管理和分析框架

    雜項

    • al-khaser – 一個旨在突出反惡意軟件系統的 PoC 惡意軟件
    • Binarly – 海量惡意軟件字節的搜索引擎
    • DC3-MWCP – 反網絡犯罪中心的惡意軟件配置解析框架
    • MalSploitBase – 包含惡意軟件利用的漏洞的數據庫
    • Malware Museum – 收集 20 世紀八九十年代流行的惡意軟件
    • Pafish – Paranoid Fish,與惡意軟件家族的行為一致,採用多種技術來檢測沙盒和分析環境的演示工具
    • REMnux – 面向惡意軟件逆向工程師和分析人員的 Linux 發行版和 Docker 鏡像
    • Santoku Linux – 移動取證的 Linux 發行版

    資源

    書籍

    基礎惡意軟件分析閱讀書單

    Twitter

    一些相關的 Twitter 賬戶

    其它

    相關 Awesome 清單

    貢獻

    歡迎提出問題或者 Pull requests!請在提交 Pull request 之前閱讀 CONTRIBUTING

    致謝

    這個列表需要感謝如下一些人:

    • Lenny Zeltser 和 REMnux 的其他開發者貢獻了這個列表中很多工具
    • Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 著有 Malware Analyst’s Cookbook,這本書為這個列表的創建提供了很大的靈感
    • 每一個提交 Pull request 以及提出建議的人

    十分感謝!

    转载请注明:IAMCOOL » 惡意軟件分析大合集

    与本文相关的文章

    0 0 vote
    Article Rating
    Subscribe
    Notify of
    0 Comments
    Inline Feedbacks
    View all comments
    0
    Would love your thoughts, please comment.x
    ()
    x