最新消息:图 床

惡意軟件分析大合集

COOL IAM 644浏览 0评论

作者:recodeking

項目地址:https://github.com/recodeking/MalwareAnalysis

這個列表記錄著那些令人稱讚的惡意軟件分析工具和資源。受到 awesome-pythonawesome-php 的啟迪。

惡意軟件分析大合集

惡意軟件集合

匿名代理

對於分析人員的 Web 流量匿名方案

  • Anonymouse.org – 一個免費、基於 Web 的匿名代理
  • OpenVPN – VPN 軟件和託管解決方案
  • Privoxy – 一個帶有隱私保護功能的開源代理服務器
  • Tor – 洋蔥路由器,為了在瀏覽網頁時不留下客戶端 IP 地址
蜜罐

捕獲和收集你自己的樣本

  • Conpot – ICS/SCADA 蜜罐
  • Cowrie – 基於 Kippo 的 SSH 蜜罐
  • Dionaea – 用來捕獲惡意軟件的蜜罐
  • Glastopf – Web 應用蜜罐
  • Honeyd – 創建一個虛擬蜜罐
  • HoneyDrive – 蜜罐包的 Linux 發行版
  • Mnemosyne – 受 Dinoaea 支持的蜜罐數據標準化
  • Thug – 用來調查惡意網站的低交互蜜罐
惡意軟件樣本庫

收集用於分析的惡意軟件樣本

開源威脅情報

工具

收集、分析 IOC 信息

其他資源

威脅情報和 IOC 資源

檢測與分類

反病毒和其他惡意軟件識別工具

  • AnalyzePE – Windows PE 文件的分析器
  • chkrootkit – 本地 Linux rootkit 檢測
  • ClamAV – 開源反病毒引擎
  • Detect-It-Easy – 用於確定文件類型的程序
  • ExifTool – 讀、寫、編輯文件的元數據
  • File Scanning Framework – 模塊化的遞歸文件掃描解決方案
  • hashdeep – 用各種算法計算哈希值
  • Loki – 基於主機的 IOC 掃描器
  • Malfunction – 在功能層面對惡意軟件進行分類和比較
  • MASTIFF – 靜態分析框架
  • MultiScanner – 模塊化文件掃描/分析框架
  • nsrllookup – 查詢 NIST’s National Software Reference Library 數據庫中哈希的工具
  • packerid – 跨平台的 PEiD 的替代品
  • PEV – 為正確分析可疑的二進制文件提供功能豐富工具的 PE 文件多平台分析工具集
  • Rootkit Hunter – 檢測 Linux 的 rootkits
  • ssdeep – 計算模糊哈希值
  • totalhash.py – 一個簡單搜索TotalHash.com 數據庫的 Python 腳本
  • TrID – 文件識別
  • YARA – 分析師利用的模式識別工具
  • Yara rules generator – 基於惡意樣本生成 yara 規則,也包含避免誤報的字符串數據庫

在線掃描與沙盒

基於 Web 的多反病毒引擎掃描器和惡意軟件自動分析的沙盒

  • APK Analyzer – APK 免費動態分析
  • AndroTotal – 利用多個移動反病毒軟件進行免費在線分析 App
  • AVCaesar – Malware.lu 在線掃描器和惡意軟件集合
  • Cryptam – 分析可疑的 Office 文檔
  • Cuckoo Sandbox – 開源、自主的沙盒和自動分析系統
  • cuckoo-modified – GPL 許可證的 Cuckoo 沙盒的修改版,由於法律原因作者沒有將其分支合併
  • cuckoo-modified-api – 用於控制 cuckoo-modified 沙盒的 Python API
  • DeepViz – 通過機器學習分類來分析的多格式文件分析器
  • detux – 一個用於對 Linux 惡意軟件流量分析與 IOC 信息捕獲的沙盒
  • Document Analyzer – DOC 和 PDF 文件的免費動態分析
  • DRAKVUF – 動態惡意軟件分析系統
  • File Analyzer – 免費 PE 文件動態分析
  • firmware.re – 解包、掃描、分析絕大多數固件包
  • Hybrid Analysis – 由 VxSandbox 支持的在線惡意軟件分析工具
  • IRMA – 異步、可定製的可疑文件分析平台
  • Joe Sandbox – 深度惡意軟件分析
  • Jotti – 免費在線多反病毒引擎掃描器
  • Limon – 分析 Linux 惡意軟件的沙盒
  • Malheur – 惡意行為的自動化沙盒分析
  • Malware config – 從常見的惡意軟件提取、解碼和在線配置
  • Malwr – 免費的在線 Cuckoo 沙盒分析實例
  • MASTIFF Online – 在線惡意軟件靜態分析
  • Metadefender.com – 掃描文件、哈希或惡意軟件的 IP 地址
  • NetworkTotal – 一個分析 pcap 文件的服務,使用配置了 EmergingThreats Pro 的Suricata 快速檢測病毒、蠕蟲、木馬和各種惡意軟件
  • Noriben – 使用 Sysinternals Procmon 收集惡意軟件在沙盒環境下的進程信息
  • PDF Examiner – 收集可疑的 PDF 文件
  • ProcDot – 一個可視化惡意軟件分析工具集
  • Recomposer – 安全上傳二進製程序到沙盒網站的輔助腳本
  • Sand droid – 自動化、完整的 Android 應用程序分析系統
  • SEE – 在安全環境中構建測試自動化的框架
  • URL Analyzer – 對 URL 文件的動態分析
  • VirusTotal – 免費的在線惡意軟件樣本和 URL 分析
  • Visualize_Logs – 用於日誌的開源可視化庫和命令行工具(Cuckoo、Procmon 等)
  • Zeltser’s List – Lenny Zeltser 創建的免費自動沙盒服務

域名分析

檢查域名和 IP 地址

  • Desenmascara.me – 一鍵點擊即可得到儘可能多的檢索元數據以評估一個網站的信譽度
  • Dig – 免費的在線 dig 以及其他網絡工具
  • dnstwist – 用於檢測釣魚網站和公司間諜活動的域名排名網站
  • IPinfo – 通過搜索在線資源收集關於 IP 或 域名的信息
  • Machinae – 類似 Automator 的 OSINT 工具,用於收集有關 URL、IP 或哈希的信息
  • mailchecker – 跨語言臨時郵件檢測庫
  • MaltegoVT – 讓 Maltego 使用 VirusTotal API,允許搜索域名、IP 地址、文件哈希、報告
  • Multi rbl – 多個 DNS 黑名單,反向查找超過 300 個 RBL。
  • SenderBase – 搜索 IP、域名或網絡的所有者
  • SpamCop – 垃圾郵件 IP 黑名單IP
  • SpamHaus – 基於域名和 IP 的黑名單
  • Sucuri SiteCheck – 免費的網站惡意軟件與安全掃描器
  • TekDefense Automator – 收集關於 URL、IP 和哈希值的 OSINT 工具
  • URLQuery – 免費的 URL 掃描器
  • Whois – DomainTools 家免費的 whois 搜索
  • Zeltser’s List – 由 Lenny Zeltser 整理的免費在線惡意軟件工具集
  • ZScalar Zulu – Zulu URL 風險分析

瀏覽器惡意軟件

分析惡意 URL,也可以參考 domain analysisdocuments and shellcode 部分

  • Firebug – Firefox Web 開發擴展
  • Java Decompiler – 反編譯並檢查 Java 的應用
  • Java IDX Parser – 解析 Java IDX 緩存文件
  • JSDetox – JavaScript 惡意軟件分析工具
  • jsunpack-n – 一個 javascript 解壓軟件,可以模擬瀏覽器功能
  • Krakatau – Java 的反編譯器、彙編器與反彙編器
  • Malzilla – 分析惡意 Web 頁面
  • RABCDAsm – 一個健壯的 ActionScript 字節碼反彙編
  • swftools – PDF 轉換成 SWF 的工具
  • xxxswf – 分析 Flash 文件的 Python 腳本

文檔和 Shellcode

在 PDF、Office 文檔中分析惡意 JS 和 Shellcode,也可參考browser malware 部分

  • AnalyzePDF – 分析 PDF 並嘗試判斷其是否是惡意文件的工具
  • box-js – 用於研究 JavaScript 惡意軟件的工具,支持 JScript/WScript 和 ActiveX 仿真功能
  • diStorm – 分析惡意 Shellcode 的反彙編器
  • JS Beautifier – JavaScript 脫殼和去混淆
  • JS Deobfuscator – 對那些使用 eval 或 document.write 的簡單 Javascript 去混淆
  • libemu – x86 shellcode 仿真的庫和工具
  • malpdfobj – 解構惡意 PDF 為 JSON 表示
  • OfficeMalScanner – 掃描 MS Office 文檔中的惡意跟蹤
  • olevba – 解析 OLE 和 OpenXML 文檔,並提取有用信息的腳本
  • Origami PDF – 一個分析惡意 PDF 的工具
  • PDF Tools – Didier Stevens 開發的許多關於 PDF 的工具
  • PDF X-Ray Lite – PDF 分析工具,PDF X-RAY 的無後端版本
  • peepdf – 用來探索可能是惡意的 PDF 的 Python 工具
  • QuickSand – QuickSand 是一個緊湊的 C 框架,用於分析可疑的惡意軟件文檔,以識別不同編碼流中的漏洞,並定位和提取嵌入的可執行文件
  • Spidermonkey – Mozilla 的 JavaScript 引擎,用來調試可疑 JS 代碼

文件提取

從硬盤和內存鏡像中提取文件

  • bulk_extractor – 快速文件提取工具
  • EVTXtract – 從原始二進制數據提取 Windows 事件日誌文件
  • Foremost – 由 US Air Force 設計的文件提取工具
  • Hachoir – 處理二進製程序的 Python 庫的集合
  • Scalpel – 另一個數據提取工具

去混淆

破解異或或其它代碼混淆方法

  • Balbuzard – 去除混淆(XOR、ROL等)的惡意軟件分析工具
  • de4dot – .NET 去混淆與脫殼
  • ex_pe_xoriheartxor – Alexander Hanel 開發的用於去除單字節異或編碼的文件的兩個工具
  • FLOSS – FireEye 實驗室的混淆字符串求解工具,使用高級靜態分析技術來自動去除惡意軟件二進制文件中的字符串
  • NoMoreXOR – 通過頻率分析來猜測一個 256 字節的異或密鑰
  • PackerAttacker – Windows 惡意軟件的通用隱藏代碼提取程序
  • unpacker – 基於 WinAppDbg 的自動 Windows 惡意軟件脫殼器
  • unxor – 通過已知明文攻擊來猜測一個異或密鑰
  • VirtualDeobfuscator – 虛擬逆向分析工具
  • XORBruteForcer – 爆破單字節異或密鑰的 Python 腳本
  • XORSearch 和 XORStrings – Didier Stevens 開發的用於尋找異或混淆后數據的兩個工具
  • xortool – 猜測異或密鑰和密鑰的長度

調試和逆向工程

反編譯器、調試器和其他靜態、動態分析工具

  • angr – UCSB 的安全實驗室開發的跨平台二進制分析框架
  • bamfdetect – 識別和提取奇迹人和其他惡意軟件的信息
  • BAP – CMU 的安全實驗室開發的跨平台開源二進制分析框架
  • BARF – 跨平台、開源二進制分析逆向框架
  • binnavi – 基於圖形可視化的二進制分析 IDE
  • Binwalk – 固件分析工具
  • Bokken – Pyew 和 Radare 的界面版
  • Capstone – 二進制分析反彙編框架,支持多種架構和許多語言
  • codebro – 使用 clang 提供基礎代碼分析的 Web 端代碼瀏覽器
  • dnSpy – .NET 編輯器、編譯器、調試器
  • Evan’s Debugger (EDB) – Qt GUI 程序的模塊化調試器
  • Fibratus – 探索、跟蹤 Windows 內核的工具
  • FPort – 實時查看系統中打開的 TCP/IP 和 UDP 端口,並映射到應用程序
  • GDB – GNU 調試器
  • GEF – 針對開發人員和逆向工程師的 GDB 增強版
  • hackers-grep – 用來搜索 PE 程序中的導入表、導出表、字符串、調試符號
  • IDA Pro – Windows 反彙編和調試器,有免費評估版
  • Immunity Debugger – 帶有 Python API 的惡意軟件調試器
  • ltrace – Linux 可執行文件的動態分析
  • objdump – GNU 工具集的一部分,面向 Linux 二進製程序的靜態分析
  • OllyDbg – Windows 可執行程序彙編級調試器
  • PANDA – 動態分析平台
  • PEDA – 基於 GDB 的 Pythton Exploit 開發輔助工具,增強顯示及增強的命令
  • pestudio – Windows 可執行程序的靜態分析
  • plasma – 面向 x86/ARM/MIPS 的交互式反彙編器
  • PPEE (puppy) – 專業的 PE 文件資源管理器
  • Process Explorer – 高級 Windows 任務管理器
  • Process Monitor – Windows 下高級程序監控工具
  • PSTools – 可以幫助管理員實時管理系統的 Windows 命令行工具
  • Pyew – 惡意軟件分析的 Python 工具
  • Radare2 – 帶有調試器支持的逆向工程框架
  • RetDec – 可重定向的機器碼反編譯器,同時有在線反編譯服務和 API
  • ROPMEMU – 分析、解析、反編譯複雜的代碼重用攻擊的框架
  • SMRT – Sublime 3 中輔助惡意軟件分析的插件
  • strace – Linux 可執行文件的動態分析
  • Triton – 一個動態二進制分析框架
  • Udis86 – x86 和 x86_64 的反彙編庫和工具
  • Vivisect – 惡意軟件分析的 Python 工具
  • X64dbg – Windows 的一個開源 x64/x32 調試器

網絡

分析網絡交互

  • Bro – 支持驚人規模的文件和網絡協議的協議分析工具
  • BroYara – 基於 Bro 的 Yara 規則集
  • CapTipper – 惡意 HTTP 流量管理器
  • chopshop – 協議分析和解碼框架
  • Fiddler – 專為 Web 調試開發的 Web 代理
  • Hale – 殭屍網絡 C&C 監視器
  • Haka – 一個安全導向的開源語言,用於在實時流量捕獲時描述協議、應用安全策略
  • INetSim – 網絡服務模擬。建設一個惡意軟件分析實驗室十分有用
  • Laika BOSS – Laika BOSS 是一種以文件為中心的惡意軟件分析和入侵檢測系統
  • Malcom – 惡意軟件通信分析儀
  • Maltrail – 一個惡意流量檢測系統,利用公開的黑名單來檢測惡意和可疑的通信流量,帶有一個報告和分析界面
  • mitmproxy – 攔截網絡流量通信
  • Moloch – IPv4 流量捕獲,帶有索引和數據庫系統
  • NetworkMiner – 有免費版本的網絡取證分析工具
  • ngrep – 像 grep 一樣收集網絡流量
  • PcapViz – 網絡拓撲與流量可視化
  • Tcpdump – 收集網絡流
  • tcpick – 從網絡流量中重構 TCP 流
  • tcpxtract – 從網絡流量中提取文件
  • Wireshark – 網絡流量分析工具

內存取證

在內存映像或正在運行的系統中分析惡意軟件的工具

  • BlackLight – 支持 hiberfil、pagefile 與原始內存分析的 Windows / MacOS 取證客戶端
  • DAMM – 基於 Volatility 的內存中惡意軟件的差異分析
  • evolve – 用於 Volatility Memory 取證框架的 Web 界面
  • FindAES – 在內存中尋找 AES 加密密鑰
  • Muninn – 一個使用 Volatility 的自動化分析腳本,可以生成一份可讀報告
  • Rekall – 內存分析框架,2013 年 Volatility 的分支版本
  • TotalRecall – 基於 Volatility 自動執行多惡意樣本分析任務的腳本
  • VolDiff – 在惡意軟件執行前後,在內存映像中運行 Volatility 並生成對比報告
  • Volatility – 先進的內存取證框架
  • VolUtility – Volatility 內存分析框架的 Web 接口
  • WinDbg – Windows 系統的實時內存檢查和內核調試工具

Windows 神器

  • AChoir – 一個用來收集 Windows 實時事件響應腳本集
  • python-evt – 用來解析 Windows 事件日誌的 Python 庫
  • python-registry – 用於解析註冊表文件的 Python 庫
  • RegRipper (GitHub) – 基於插件集的工具

存儲和工作流

  • Aleph – 開源惡意軟件分析管道系統
  • CRITs – 關於威脅、惡意軟件的合作研究
  • Malwarehouse – 存儲、標註與搜索惡意軟件
  • Polichombr – 一個惡意軟件分析平台,旨在幫助分析師逆向惡意軟件。
  • stoQ – 分佈式內容分析框架,具有廣泛的插件支持
  • Viper – 分析人員的二進制管理和分析框架

雜項

  • al-khaser – 一個旨在突出反惡意軟件系統的 PoC 惡意軟件
  • Binarly – 海量惡意軟件字節的搜索引擎
  • DC3-MWCP – 反網絡犯罪中心的惡意軟件配置解析框架
  • MalSploitBase – 包含惡意軟件利用的漏洞的數據庫
  • Malware Museum – 收集 20 世紀八九十年代流行的惡意軟件
  • Pafish – Paranoid Fish,與惡意軟件家族的行為一致,採用多種技術來檢測沙盒和分析環境的演示工具
  • REMnux – 面向惡意軟件逆向工程師和分析人員的 Linux 發行版和 Docker 鏡像
  • Santoku Linux – 移動取證的 Linux 發行版

資源

書籍

基礎惡意軟件分析閱讀書單

Twitter

一些相關的 Twitter 賬戶

其它

相關 Awesome 清單

貢獻

歡迎提出問題或者 Pull requests!請在提交 Pull request 之前閱讀 CONTRIBUTING

致謝

這個列表需要感謝如下一些人:

  • Lenny Zeltser 和 REMnux 的其他開發者貢獻了這個列表中很多工具
  • Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 著有 Malware Analyst’s Cookbook,這本書為這個列表的創建提供了很大的靈感
  • 每一個提交 Pull request 以及提出建議的人

十分感謝!


转载请注明:IAMCOOL » 惡意軟件分析大合集

0 0 vote
Article Rating
Subscribe
Notify of
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x