大家好,我是一坨咸鱼
咸鱼觉得这次的排版比上次的好看多啦!
充满简约(贫穷)气质
咸鱼想知道你们需要什么样的资料
然后努力收集反馈给大家
希望你们在留言区多多反馈(点赞)啦
前言
本文我们将给安全专业人员列举有价值的工具、书籍和资源,为恶意软件分析和逆向工程提供参考和帮助。
十六进制编辑器
十六进制编辑器(二进制文件编辑器或字节编辑器)是一种允许操纵计算机文件的基本二进制数据计算机程序。名称'hex'出自'hexadecimal':用于表示二进制数据的标准数字格式
HXD https://mh-nexus.de/en/hxd/
010 Editor http://www.sweetscape.com/010editor/
Hex Workshop http://www.hexworkshop.com/
HexFiend http://ridiculousfish.com/hexfiend/
Hiew http://www.hiew.ru/
反汇编
反汇编程序与反编译器不同,反编译器的目标是高级语言而不是汇编语言。反汇编(反汇编程序的输出)通常被格式化为可读性较强的汇编语言,使其成为逆向工程工具
IDA Pro
https://www.hex-rays.com/products/ida/index.shtml
Binary Ninja https://binary.ninja/
Radare http://www.radare.org/r/
Hopper http://hopperapp.com/
Capstone http://www.capstone-engine.org/
objdump http://linux.die.net/man/1/objdump
fREedom https://github.com/cseagle/fREedom
plasma
https://github.com/plasma-disassembler/plasma
检测和分类
AnalyzePE - 用于报告Windows PE文件的各种工具
https://github.com/hiddenillusion/AnalyzePE
Assemblyline - 可扩展的分布式文件分析框架
https://bitbucket.org/cse-assemblyline/assemblyline
BinaryAlert - 一种开源的无服务器AWS管道,可根据一组YARA规则扫描和警告上载的文件
https://github.com/airbnb/binaryalert
chkrootkit - 本地Linux rootkit检测
http://www.chkrootkit.org/
ClamAV - 开源防病毒引擎
http://www.clamav.net/
Detect-It-Easy - 用于确定文件类型的程序
https://github.com/horsicq/Detect-It-Easy
ExifTool - 读取,写入和编辑文件元数据
https://sno.phy.queensu.ca/~phil/exiftool/
File Scanning Framework - 模块化递归文件扫描解决方案
https://github.com/EmersonElectricCo/fsf
hashdeep - 使用各种算法计算摘要哈希值
https://github.com/jessek/hashdeep
Loki - 基于主机的IOC扫描仪
https://github.com/Neo23x0/Loki
Malfunction - 在功能级别编目和比较恶意软件
https://github.com/Dynetics/Malfunction
MASTIFF - 静态分析框架
https://github.com/KoreLogicSecurity/mastiff
MultiScanner - 模块化文件扫描/分析框架
https://github.com/mitre/multiscanner
nsrllookup - 在NIST的国家软件参考库数据库中查找哈希的工具
https://github.com/rjhansen/nsrllookup
packerid - PEiD的跨平台Python替代方案
http://handlers.sans.org/jclausing/packerid.py
PEV - 用于处理PE文件的多平台工具包,提供功能丰富的工具,用于正确分析可疑二进制文件
http://pev.sourceforge.net/
Rootkit Hunter - 检测Linux rootkit
http://rkhunter.sourceforge.net/
ssdeep - 计算模糊哈希值
https://ssdeep-project.github.io/ssdeep/
totalhash.py -
用于搜索 TotalHash.cymru.com 数据库的Python脚本
https://gist.github.com/gleblanc1783/3c8e6b379fa9d646d401b96ab5c7877f
TrID - 文件标识符
http://mark0.net/soft-trid-e.html
YARA - 分析师的模式匹配工具
https://plusvic.github.io/yara/
Yara rules generator - 根据一组恶意软件样本生成yara规则https://github.com/Neo23x0/yarGen
动态二进制仪表
动态二进制仪表工具
Pin
https://software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool
DynamoRio http://www.dynamorio.org/
Frida https://www.frida.re/
dyninst http://www.dyninst.org/
Mac Decrypt
Mac Decrypting工具
Cerbero Profiler - 全选 - >复制到新文件
http://cerbero-blog.com/?p=1311
AppEncryptor - 用于解密的工具
https://github.com/AlanQuatermain/appencryptor
Class-Dump - deprotect选项
http://stevenygard.com/projects/class-dump/
readmem - OS X Reverser的进程转储工具
https://github.com/gdbinit/readmem
模拟器
模拟器工具
QEMU http://www.qemu-project.org/
unicorn
https://github.com/unicorn-engine/unicorn
文件分析
文档分析工具
Ole Tools
http://www.decalage.info/python/oletools
Didier’s PDF Tools
http://blog.didierstevens.com/programs/pdf-tools/
Origami https://github.com/cogent/origami-pdf
动态分析
这个入门级的恶意软件动态分析课程是专门针对那些刚开始从事恶意软件分析,或是想要学习如何通过各种工具检测恶意软件遗留的人员
这是一门实践课程,学员们可以使用各种工具来查找恶意软件的类型
ProcessHacker http://processhacker.sourceforge.net/
Process Explorer
https://technet.microsoft.com/en-us/sysinternals/processexplorer
Process Monitor
https://technet.microsoft.com/en-us/sysinternals/processmonitor
Autoruns
https://technet.microsoft.com/en-us/sysinternals/bb963902
Noriben https://github.com/Rurik/Noriben
API监视器 http://www.rohitab.com/apimonitor
iNetSim http://www.inetsim.org/
Wireshark https://www.wireshark.org/download.html
Fakenet
http://practicalmalwareanalysis.com/fakenet/
Volatility
https://github.com/volatilityfoundation/volatility
Dumpit http://www.moonsols.com/products/
LiME https://github.com/504ensicsLabs/LiME
Cuckoo https://www.cuckoosandbox.org/
Objective-See Utilities
https://objective-see.com/products.html
XCode Instruments - 用于监控文件和进程的XCode工具
https://developer.apple.com/xcode/download/
fs_usage - 实时报告与文件系统活动相关的系统调用和页面错误,文件I / O:fs_usage -w -f文件系统
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/fs_usage.1.html
dmesg - 显示系统消息缓冲区
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/dmesg.8.html
Triton https://triton.quarkslab.com/
反混淆
反向XOR和其他代码混淆方法
Balbuzard - 用于反转混淆(XOR,ROL等)的恶意软件分析工具等
https://bitbucket.org/decalage/balbuzard/wiki/Home
de4dot - .NET反混淆器和解包器
https://github.com/0xd4d/de4dot
ex_pe_xor & iheartxor - Alexander Hanel的两个工具,用于处理单字节XOR编码文件
http://hooked-on-mnemonics.blogspot.com/p/iheartxor.html
FLOSS - FireEye Labs混淆字符串解算器,自动使用高级静态分析技术对来自恶意软件二进制文件的字符串进行反混淆处理
https://github.com/fireeye/flare-floss
NoMoreXOR - 使用频率分析256字节的XOR密钥
https://github.com/hiddenillusion/NoMoreXOR
PackerAttacker - Windows恶意软件的通用隐藏代码提取程序
https://github.com/BromiumLabs/PackerAttacke
unpacker - 基于WinAppDbg的Windows恶意软件的自动恶意软件解包器
https://github.com/malwaremusings/unpacker/
unxor - 使用已知明文攻击猜测XOR密钥
https://github.com/tomchop/unxor/
VirtualDeobfuscator - 虚拟化包装器的逆向工程工具
https://github.com/jnraber/VirtualDeobfuscator
XORBruteForcer - 用于强制执行单字节XOR键的Python脚本
http://eternal-todo.com/var/scripts/xorbruteforcer
XORSearch & XORStrings - 来自Didier Stevens的几个程序,用于查找 XORed数据
https://blog.didierstevens.com/programs/xorsearch/
xortool - 猜测XOR密钥长度,以及密钥本身
https://github.com/hellman/xortool
调试
在此列表中,我们可以看到反汇编程序,调试程序以及其他静态和动态分析工具的工具
跨平台调试工具
gdb https://www.gnu.org/software/gdb/
vdb https://github.com/vivisect/vivisect
lldb http://lldb.llvm.org/
qira http://qira.me/
仅限Windows的调试工具
WinDbg
https://msdn.microsoft.com/en-us/windows/hardware/hh852365.aspx
ImmunityDebugger
https://www.immunityinc.com/products/debugger/
OllyDbg v1.10 http://www.ollydbg.de/
OllyDbg v2.01
http://www.ollydbg.de/version2.html
OllySnD
https://tuts4you.com/download.php?view.2061
Olly Shadow
https://tuts4you.com/download.php?view.6
Olly CiMs
https://tuts4you.com/download.php?view.1206
Olly UST_2bg
https://tuts4you.com/download.php?view.1206
x64dbg http://x64dbg.com/#start
仅限Linux的调试工具
DDD http://www.gnu.org/software/ddd/
逆向工程
angr - 在UCSB的Seclab开发的二进制分析框架
https://github.com/angr/angr
bamfdetect - 识别和提取机器人和其他恶意软件的信息
https://github.com/bwall/bamfdetect
BAP - 在Cylab开发的多平台和开源(MIT)二进制分析框架
https://github.com/BinaryAnalysisPlatform/bap
BARF - 开源二进制分析和逆向工程框架
https://github.com/programa-stic/barf-project
binnavi - 基于图形可视化的逆向工程二进制分析IDE
https://github.com/google/binnavi
Binary ninja - 一种可逆转工程平台,可替代IDA
https://binary.ninja/
Binwalk - 固件分析工具
https://github.com/devttys0/binwalk
Bokken - Pyew和Radare的GUI
http://www.bokken.re/
Capstone - 用于二进制分析和反转的反汇编框架
https://github.com/aquynh/capstone
codebro - 基于Web的代码浏览器,提供基本代码分析
https://github.com/hugsy/codebro
DECAF (Dynamic Executable Code Analysis Framework)- 基于QEMU的二进制分析平台,DroidScope现在是DECAF的扩展
https://github.com/sycurelab/DECAF
dnSpy - NET汇编编辑器,反编译器和调试器
https://github.com/0xd4d/dnSpy
Evan’s DeBUGGER(EDB) - 带有Qt GUI的模块化调试器
http://codef00.com/projects#debugger
Fibratus - 用于探索和跟踪Windows内核的工具
https://github.com/rabbitstack/fibratus
FPort - 在实时系统中打开TCP / IP和UDP端口并将它们映射到所属的应用程序
https://www.mcafee.com/us/downloads/free-tools/fport.aspx
GDB - GNU调试器
http://www.sourceware.org/gdb/
GEF - GDB增强功能,适用于开发人员和逆向工程师
https://github.com/hugsy/gef
hackers-grep - 在PE可执行文件中搜索字符串的实用程序,包括导入,导出和调试符号
https://github.com/codypierce/hackers-grep
Hopper - macOS和Linux反汇编程序
https://www.hopperapp.com/
IDA Pro - Windows反汇编程序和调试程序,具有免费评估版
https://www.hex-rays.com/products/ida/index.shtml
Immunity Debugger - 用于恶意软件分析的调试器,使用Python API
http://debugger.immunityinc.com/
ILSpy - ILSpy是开源.NET程序集浏览器和反编译器
http://ilspy.net/
Kaitai Struct - 用于文件格式/网络协议/数据结构的DSL逆向工程和剖析,包括C ++,C#,Java,JavaScript,Perl,PHP,Python,Ruby的代码生成
http://kaitai.io/
LIEF - LIEF提供了一个跨平台的库来解析,修改和抽象ELF,PE和MachO格式
https://lief.quarkslab.com/
ltrace - Linux可执行文件的动态分析
http://ltrace.org/
objdump - GNU binutils的一部分,用于Linux二进制文件的静态分析
https://en.wikipedia.org/wiki/Objdump
OllyDbg - Windows可执行文件的汇编级调试器
http://www.ollydbg.de/
PANDA - 中性动态分析
https://github.com/moyix/panda
PEDA - 针对GDB的Python漏洞利用开发协助,增强显示和添加命令
https://github.com/longld/peda
pestudio - 执行Windows可执行文件的静态分析
https://winitor.com/
Pharos - Pharos二进制分析框架,可用于执行二进制文件的自动静态分析
https://github.com/cmu-sei/pharos
plasma - 用于x86 / ARM / MIPS的交互式反汇编程序
https://github.com/plasma-disassembler/plasma
PPEE(puppy)- 专业PE文件浏览器
https://www.mzrst.com/
Process Explorer - Windows的高级任务管理器
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
Process Hacker - 监视系统资源的工具
http://processhacker.sourceforge.net/
Process Monitor - 用于Windows程序的高级监视工具
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
PSTools - 帮助管理和调查实时系统的Windows命令行工具
https://docs.microsoft.com/en-us/sysinternals/downloads/pstools
Pyew - 用于恶意软件分析的Python工具
https://github.com/joxeankoret/pyew
PyREBox - 思科Talos团队的Python脚本化逆向工程沙箱
https://github.com/Cisco-Talos/pyrebox
QKD - QEMU带有嵌入式WinDbg服务器,用于隐身调试
https://github.com/ispras/qemu/releases/
Radare2 - 反向工程框架,支持调试器
http://www.radare.org/r/
RegShot - 比较快照的注册表比较实用程序
https://sourceforge.net/projects/regshot/
RetDec -
具有在线反编译服务和API的Retargetable机器代码反编译器
https://retdec.com/
ROPMEMU - 分析,剖析和反编译复杂代码重用攻击的框架
https://github.com/Cisco-Talos/ROPMEMU
SMRT - Sublime恶意软件研究工具,Sublime 3的插件,用于帮助恶意软件分析
https://github.com/pidydx/SMRT
strace - Linux可执行文件的动态分析
https://sourceforge.net/projects/strace/
Triton - 动态二进制分析(DBA)框架
https://triton.quarkslab.com/
Udis86 - 用于x86和x86_64的反汇编程序库和工具
https://github.com/vmt/udis86
Vivisect - 用于恶意软件分析的Python工具
https://github.com/vivisect/vivisect
WinDbg - 用于Microsoft Windows计算机操作系统的多用途调试器,用于调试用户模式应用程序,设备驱动程序和内核模式内存转储
https://developer.microsoft.com/en-us/windows/hardware/download-windbg
X64dbg - 用于Windows的开源x64 / x32调试器
https://github.com/x64dbg/
二进制格式和二进制分析
复合文件二进制格式是几种不同的Microsoft文件格式(如Microsoft Office文档和Microsoft Installer程序包)使用的基本容器
CFF资源管理器
http://www.ntcore.com/exsuite.php
Cerbero Profiler // Lite PE Insider
http://cerbero.io/profiler/
http://cerbero.io/peinsider/
Detect It EASY http://ntinfo.biz/
PeStudio http://www.winitor.com/
PEID
https://tuts4you.com/download.php?view.398
MachoView https://github.com/gdbinit/MachOView
nm - 查看符号
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/nm.1.html
file -文件信息
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/file.1.html
codesign - 代码签名信息用法:codesign -dvvv文件名https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/codesign.1.html
二进制分析资源
Mobius Resources
http://www.msreverseengineering.com/research/
z3 https://z3.codeplex.com/
bap https://github.com/BinaryAnalysisPlatform/bap
angr https://github.com/angr/angr
反编译器
反编译器是一种计算机程序,它输入可执行文件,并尝试创建可以成功重新编译的高级源文件。因此它与编译器相反,后者采用源文件并生成可执行文件
通用反编译器
HexRay
https://www.hex-rays.com/products/decompiler/
RetDec https://retdec.com/decompilation/
Boomerang http://boomerang.sourceforge.net/
Java Decompiler
Procyon
https://bitbucket.org/mstrobel/procyon/wiki/Java%20Decompiler
JD-GUI http://jd.benow.ca/
JAD https://varaneckas.com/jad/
NET反编译器
JustDecompile
http://www.telerik.com/products/decompiler.aspx
dotPeek https://www.jetbrains.com/decompiler/
Delphi反编译器
IDR http://kpnc.org/idr32/en/
Revendepro
http://www.ggoossen.net/revendepro/
Python反编译器
Uncompyle6
https://github.com/rocky/python-uncompyle6/
Decompyle ++ https://github.com/zrax/pycdc
字节码分析
字节码分析工具
dnSpy https://github.com/0xd4d/dnSpy
字节码查看器 https://bytecodeviewer.com/
字节码查看器 https://bytecodeviewer.com/
字节可视化
http://www.drgarbage.com/bytecode-visualizer/
JPEXS Flash Decompiler
https://www.free-decompiler.com/flash/
导入重构
导入重构工具
ImpRec
http://www.woodmann.com/collaborative/tools/index.php/ImpREC
Scylla https://github.com/NtQuery/Scylla
LordPE
http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip
在线扫描仪和沙箱
以下工具用于基于Web的多AV扫描仪,以及用于自动分析的恶意软件沙箱
anlyz.io - 在线沙箱
https://sandbox.anlyz.io/
AndroTotal - 针对多个移动防病毒应用程序免费在线分析APK
https://andrototal.org/
AVCaesar - Malware.lu在线扫描程序和恶意软件存储库
https://avcaesar.malware.lu/
Cryptam - 分析可疑的办公文档
http://www.cryptam.com/
Cuckoo Sandbox - 开源,自托管沙箱和自动分析系统
https://cuckoosandbox.org/
cuckoo-modified -
根据GPL发布的Cuckoo Sandbox的修改版本,由于作者的法律问题,未合并上传
https://github.com/brad-accuvant/cuckoo-modified
DeepViz - 具有机器学习分类的多格式文件分析器
https://www.deepviz.com/
detux - 开发用于对Linux恶意软件进行流量分析并捕获IOC的沙箱
https://github.com/detuxsandbox/detux/
DRAKVUF - 动态恶意软件分析系统
https://github.com/tklengyel/drakvuf
firmware.re - 解压缩,扫描和分析几乎所有固件包
http://firmware.re/
HaboMalHunter - Linux ELF文件的自动恶意软件分析工具
https://github.com/Tencent/HaboMalHunter
混合分析 - 在线恶意软件分析工具,由VxSandbox提供支持
https://www.hybrid-analysis.com/
IRMA - 针对可疑文件的异步和可自定义分析平台
http://irma.quarkslab.com/
Joe Sandbox - 使用Joe Sandbox进行深度恶意软件分析
https://www.joesecurity.org/
Jotti - 免费在线多AV扫描仪
https://virusscan.jotti.org/en
Limon - 用于分析Linux恶意软件的沙箱
https://github.com/monnappa22/Limon
Malheur - 恶意软件行为的自动沙盒分析
https://github.com/rieck/malheur
malsub - 用于在线恶意软件和URL分析服务的Python RESTful API框架
https://github.com/diogo-fernan/malsub
恶意软件配置 - 从常见恶意软件中在线提取,解码和显示配置设置
https://malwareconfig.com/
Malwr - 使用在线Cuckoo Sandbox实例进行免费分析
https://malwr.com/
MASTIFF Online - 恶意软件的在线静态分析
https://mastiff-online.korelogic.com/
Metadefender.com - 扫描恶意软件的文件,哈希或IP地址(免费)
https://www.metadefender.com/
NetworkTotal - 一种分析pcap文件的服务,可以使用配置了EmergingThreats Pro的Suricata快速检测病毒,蠕虫,特洛伊木马和各种恶意软件
https://www.networktotal.com/index.html
Noriben - 使用Sysinternals Procmon收集有关沙盒环境中恶意软件的信息
https://github.com/Rurik/Noriben
PDF Examiner - 分析可疑的PDF文件
http://www.pdfexaminer.com/
ProcDot - 图形恶意软件分析工具包
http://www.procdot.com/
重组器 - 用于将二进制文件安全地上载到沙箱站点的帮助程序脚本
https://github.com/secretsquirrel/recomposer
Sand droid - 自动完整的Android应用程序分析系统
http://sanddroid.xjtu.edu.cn/
SEE - 沙盒执行环境(SEE)是用于在安全环境中构建测试自动化的框架
https://github.com/F-Secure/see
VirusTotal - 免费在线分析恶意软件样本和URL
https://www.virustotal.com/
Visualize_Logs - 用于日志的开源可视化库和命令行工具(Cuckoo,Procmon......)
https://github.com/keithjjones/visualize_logs
Zeltser‘s List - 由Lenny Zeltser编写的免费自动沙箱和服务
https://zeltser.com/automated-malware-analysis
脚本
IDA Python Src https://github.com/idapython/src
IDC Functions Doc
https://www.hex-rays.com/products/ida/support/idadoc/162.shtml
Using IDAPython to Make your Life Easier
http://researchcenter.paloaltonetworks.com/tag/idapython/
IDA Python简介
https://tuts4you.com/download.php?view.3229
IDA Python初学者指南
https://leanpub.com/IDAPython-Book
IDA插件大赛 https://www.hex-rays.com/contests/
onehawt IDA插件列表
https://github.com/onethawt/idaplugins-list
pefile Python Libray
https://github.com/erocarrera/pefile
Android
Android工具
Android Developer Studio
http://developer.android.com/sdk/index.html
AndroGuard https://github.com/androguard/androguard/
APKtool http://ibotpeaches.github.io/Apktool/
dex2jar https://github.com/pxb1988/dex2jar
字节码查看器 https://bytecodeviewer.com/
IDA Pro
https://www.hex-rays.com/products/ida/index.shtml
Yara
Yara资源
Yara docs
http://yara.readthedocs.org/en/v3.4.0/writingrules.html
cheatsheet
https://gist.github.com/0xtyh/eeabc765e9befad9b80a
yarGen https://github.com/Neo23x0/yarGen
Yara First Presentation
https://github.com/xathrya/awesome-list/blob/master/Users/thalfpop/Downloads/first_2014_-_schuster-_andreas_-_yara_basic_and_advanced_20140619.pdf
记忆取证
用于在内存映像或运行系统中剖析恶意软件的工具
BlackLight - 支持hiberfil,页面文件,原始内存分析的Windows / MacOS取证客户端
https://www.blackbagtech.com/blacklight.html
DAMM - 基于波动率内存中恶意软件的差异分析
https://github.com/504ensicsLabs/DAMM
evolve - Volatility Memory取证框架的Web界面
https://github.com/JamesHabben/evolve
FindAES - 在内存中查找AES加密密钥
http://jessekornblum.livejournal.com/269749.html
inVtero.net - 用.NET开发的高速内存分析框架,支持所有Windows x64,包括代码完整性和写入支持
https://github.com/ShaneK2/inVtero.net
Muninn - 使用Volatility自动化部分分析的脚本,并创建可读报告
https://github.com/ytisf/muninn
Rekall - 内存分析框架,源于2013年的Volatility
http://www.rekall-forensic.com/
TotalRecall - 基于Volatility的脚本,用于自动执行各种恶意软件分析任务
https://github.com/sketchymoose/TotalRecall
VolDiff - 在恶意软件执行之前和之后对内存映像运行Volatility,并报告更改
https://github.com/aim4r/VolDiff
Volatility - 先进的记忆取证框架
https://github.com/volatilityfoundation/volatility
VolUtility -波动率内存分析框架的Web界面
https://github.com/kevthehermit/VolUtility
WDBGARK - WinDBG Anti-RootKit扩展
https://github.com/swwwolf/wdbgark
WinDbg - Windows系统的实时内存检查和内核调试
https://developer.microsoft.com/en-us/windows/hardware/windows-driver-kit
Windows工件
AChoir - 用于收集Windows工件的实时事件响应脚本
https://github.com/OMENScan/AChoir
python-evt - 用于解析Windows事件日志的Python库
https://github.com/williballenthin/python-evt
python-registry - 用于解析注册表文件的Python库
http://www.williballenthin.com/registry/
RegRipper(GitHub) - 基于插件的注册表分析工具
http://brettshavers.cc/index.php/brettsblog/tags/tag/regripper/
存储和工作流程
Aleph - 开源恶意软件分析管道系统
https://github.com/merces/aleph
CRIT s - 一个恶意软件威胁库
https://crits.github.io/
FAME - 一个恶意软件分析框架,其特色是可以使用自定义模块进行扩展的管道,这些模块可以链接并相互交互以执行端到端分析
https://certsocietegenerale.github.io/fame/
Malwarehouse - 存储,标记和搜索恶意软件
https://github.com/sroberts/malwarehouse
Polichombr - 一种恶意软件分析平台,旨在帮助分析师协同反转恶意软件
https://github.com/ANSSI-FR/polichombr
stoQ - 分布式内容分析框架,具有广泛的插件支持,从输入到输出,以及介于两者之间的所有内容
http://stoq.punchcyber.com/
Viper - 分析师和研究人员的二进制管理和分析框架
http://viper.li/
恶意软件样本
收集恶意软件样本进行分析
Clean MX - 恶意软件和恶意域的实时数据库
http://support.clean-mx.de/clean-mx/viruses.php
Contagio - 最近的恶意软件样本和分析集合
http://contagiodump.blogspot.com/
漏洞数据库 - 利用和shellcode样本
https://www.exploit-db.com/
Malshare - 恶意软件的大型存储库
https://malshare.com/
MalwareDB - 恶意软件样本存储库
http://malwaredb.malekal.com/
打开恶意软件项目 - 示例信息下载
http://openmalware.org/
Ragpicker - 基于插件的恶意软件爬虫,具有预分析和报告功能
https://github.com/robbyFux/Ragpicker
theZoo - 分析师的真实恶意软件样本
https://github.com/ytisf/theZoo
Tracker h3x - 用于恶意软件语料库跟踪器和恶意下载站点的 Agregator
http://tracker.h3x.eu/
ViruSign - 恶意软件数据库
http://www.virussign.com/
VirusShare - 恶意软件存储库,需要注册
https://virusshare.com/
VX Vault - 恶意软件样本的主动收集
http://vxvault.net/
Zeltser的来源 - Lenny Zeltser汇总的恶意软件样本源列表
https://zeltser.com/malware-sample-sources/
Zeus源代码 - Zeus木马的来源于2011年泄露
https://github.com/Visgean/Zeus
课程
逆向工程课程
莱纳斯为新手逆转
https://tuts4you.com/download.php?list.17
开放式安全培训
http://opensecuritytraining.info/Training.html
傅博士的恶意软件分析
http://fumalwareanalysis.blogspot.sg/p/malware-analysis-tutorials-reverse.html
二元审计课程 http://www.binary-auditing.com/
TiGa的视频教程 http://www.woodmann.com/TiGa/
随机传说
https://tuts4you.com/download.php?list.97
现代二元开发
http://security.cs.rpi.edu/courses/binexp-spring2015/
RPISEC恶意软件课程
https://github.com/RPISEC/Malware
SANS FOR 610 GREM
https://www.sans.org/course/reverse-engineering-malware-malware-analysis-tools-techniques/Type/asc/all
REcon培训 https://recon.cx/2015/training.html
黑帽训练
https://www.blackhat.com/us-16/training/
进攻性安全
https://www.offensive-security.com/information-security-training/
Corelan培训 https://www.corelan-training.com/
攻击性和防御性Android逆转
https://github.com/rednaga/training/raw/master/DEFCON23/O%26D%20-%20Android%20Reverse%20Engineering.pdf
域分析
检查域和IP地址
badips.com - 基于社区的IP黑名单服务
https://www.badips.com/
boomerang - 一种用于一致且安全地捕获网络外网络资源的工具
https://github.com/EmersonElectricCo/boomerang
Cymon - 威胁情报跟踪器,具有IP /域/哈希搜索功能
https://cymon.io/
Desenmascara.me - 一键式工具,可以为网站检索尽可能多的元数据,并评估其良好的信誉
http://desenmascara.me/
Dig - 免费在线挖掘和其他网络工具
https://networking.ringofsaturn.com/
dnstwist - 用于检测拼写错误,网络钓鱼和企业间谍活动的域名置换引擎
https://github.com/elceef/dnstwist
IPinfo - 通过搜索在线资源收集有关IP或域的信息
https://github.com/hiddenillusion/IPinfo
Machinae - 用于收集有关URL,IP或哈希信息的OSINT工具,与Automator相似
https://github.com/hurricanelabs/machinae
mailchecker - 跨语言临时电子邮件检测库
https://github.com/FGRibreau/mailchecker
MaltegoVT - VirusTotal API的Maltego转换,允许域/ IP研究,以及搜索文件哈希和扫描报告
https://github.com/michael-yip/MaltegoVT
Multi rbl - 多个DNS黑名单和转发已确认的反向DNS查询超过300个RBL
http://multirbl.valli.org/
NormShield Services - 用于检测可能的网络钓鱼域,列入黑名单的IP地址和违反帐户的免费API服务
https://services.normshield.com/
SpamCop - 基于IP的垃圾邮件阻止列表
https://www.spamcop.net/bl.shtml
SpamHaus - 基于域和IP的阻止列表
https://www.spamhaus.org/lookup/
Sucuri SiteCheck - 免费网站恶意软件和安全扫描程序
https://sitecheck.sucuri.net/
Talos Intelligence - 搜索IP,域或网络所有者(以前是SenderBase)
https://talosintelligence.com/
TekDefense Automater - 用于收集有关URL,IP或哈希值的信息的OSINT工具
http://www.tekdefense.com/automater/
URLQuery - 免费的URL扫描程序
http://urlquery.net/
Whois - DomainTools免费在线whois搜索
https://whois.domaintools.com/
Zeltser’s List - 由Lenny Zeltser编写的免费在线工具,用于研究恶意网站
https://zeltser.com/lookup-malicious-websites/
ZScalar Zulu - Zulu URL风险分析器
https://zulu.zscaler.com/
书籍
最重要的逆向工程书籍
IDA Pro Book http://amzn.com/1593272898
初学者的逆向工程 http://beginners.re/
汇编语言的艺术 http://amzn.com/1593272073
实用逆向工程 http://amzn.com/B00IA22R2Y
逆转:逆向工程的秘密
http://amzn.com/B007032XZK
实用的恶意软件分析 http://amzn.com/1593272901
恶意软件分析师的食谱
http://amzn.com/B0047DWCMA
灰帽子黑客 http://amzn.com/0071832386
记忆取证的艺术 http://amzn.com/1118825098
黑客:剥削的艺术 http://amzn.com/1593271441
模糊软件安全 http://amzn.com/1596932147
软件安全评估的艺术 http://amzn.com/0321444426
防病毒黑客手册 http://amzn.com/1119028752
The Rootkit Arsenal
http://amzn.com/144962636X
Windows Internals第1 、2部分
http://amzn.com/0735648735
Windows调试之中 http://amzn.com/0735662789
iOS逆向工程
https://github.com/iosre/iOSAppReverseEngineering
文档和Shellcode
从PDF和Office文档分析恶意JS和shellcode
AnalyzePDF - 用于分析PDF并尝试确定它们是否是恶意的工具
https://github.com/hiddenillusion/AnalyzePDF
box-js - 用于研究JavaScript恶意软件的工具,具有JScript / WScript支持和ActiveX仿真功能
https://github.com/CapacitorSet/box-js
diStorm - 用于分析恶意shellcode的反汇编程序
http://www.ragestorm.net/distorm/
JS Beautifier - JavaScript解包和反混淆
http://jsbeautifier.org/
JS Deobfuscator -
反混淆使用eval或document.write隐藏其代码的简单Javascript
http://www.kahusecurity.com/2015/new-javascript-deobfuscator-tool/
libemu - 用于x86 shellcode仿真的库和工具
http://libemu.carnivore.it/
malpdfobj - 将恶意PDF解构为JSON表示
https://github.com/9b/malpdfobj
OfficeMalScanner - 扫描MS Office文档中的恶意跟踪
http://www.reconstructer.org/code.html
olevba -用于解析OLE和OpenXML文档以及提取有用信息的脚本
http://www.decalage.info/python/olevba
Origami PDF - 用于分析恶意PDF的工具等
https://code.google.com/archive/p/origami-pdf
PDF工具 -
来自Didier Stevens的pdfid,pdf-parser等
https://blog.didierstevens.com/programs/pdf-tools/
PDF X-Ray Lite - PDF分析工具,PDF X-RAY的后端版本
https://github.com/9b/pdfxray_lite
peepdf -用于探索可能的恶意PDF的Python工具
http://eternal-todo.com/tools/peepdf-pdf-analysis-tool
QuickSand - QuickSand是一个紧凑的C框架,用于分析可疑的恶意软件文档,以识别不同编码流中的漏洞,并定位和提取嵌入的可执行文件
https://www.quicksand.io/
Spidermonkey - Mozilla的JavaScript引擎,用于调试恶意JS
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey
实践
练习逆向工程,警惕恶意软件
Crackmes.de http://www.crackmes.de/
OSX Crackmes https://reverse.put.as/crackmes/
ESET挑战
http://www.joineset.com/jobs-analyst.html
Flare-on挑战 http://flare-on.com/
Github CTF档案馆 http://github.com/ctfs/
逆向工程挑战 http://challenges.re/
xorpd高级装配练习
http://www.xorpd.net/pages/xchg_rax/snip_00.html
Virusshare.com http://virusshare.com/
Contagio http://contagiodump.blogspot.com/
恶意软件流量分析
https://malware-traffic-analysis.com/
Malshare http://malshare.com/
恶意软件黑名单
http://www.malwareblacklist.com/showMDL.php
malwr.com https://malwr.com/
vxvault http://vxvault.net/
开源威胁情报工具
捕捉和分析IOC
AbuseHelper - 用于接收和重新分发滥用情况和威胁情报的开源框架
https://github.com/abusesa/abusehelper
AlienVault Open Threat Exchange - 共享和协作开发威胁情报
https://otx.alienvault.com/
Combine - 从公开来源收集威胁情报指标的工具
https://github.com/mlsecproject/combine
Fileintel - 智能提取每个文件哈希
https://github.com/keithjjones/fileintel
Hostintel - 智能提取每个主机
https://github.com/keithjjones/hostintel
IntelMQ -
用于使用消息队列处理事件数据的 CERT的工具
https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/incident-handling-automation
I OC Editor - XML IOC文件的免费编辑器
https://www.fireeye.com/services/freeware/ioc-editor.html
ioc_writer -
用于处理Mandiant的OpenIOC对象的Python库
https://github.com/mandiant/ioc_writer
Massive Octo Spice - 以前称为CIF(集体智慧框架),从各种列表聚合IOC,由 CSIRT小工具基金会策划
https://github.com/csirtgadgets/massive-octo-spice
MISP - 由 MISP项目策划的恶意软件信息共享平台
https://github.com/MISP/MISP
Pulsedive - 免费的社区驱动威胁情报平台,从开源源收集IOC
https://pulsedive.com/
PyIOCe - Python OpenIOC编辑器
https://github.com/pidydx/PyIOCe
RiskIQ - 研究,连接,标记和共享IP和域
https://community.riskiq.com/
threataggregator - 聚合来自多个来源的安全威胁
https://github.com/jpsenior/threataggregator
ThreatCrowd - 威胁搜索引擎,具有图形可视化功能
https://www.threatcrowd.org/
ThreatTracker - 一个Python脚本,用于监视和生成基于由一组Google自定义搜索引擎索引的IOC的警报
https://github.com/michael-yip/ThreatTracker
TIQ-test - 威胁情报源的数据可视化和统计分析
https://github.com/mlsecproject/tiq-test
其他资源
APT笔记 - 与高级持续威胁相关的论文和笔记集
https://github.com/aptnotes/data
文件格式海报 - 常用文件格式(包括PE和ELF)的可视化
https://github.com/corkami/pics
蜜罐项目 - 蜜罐工具,论文和其他资源
http://honeynet.org/
内核模式 - 一个致力于恶意软件分析和内核开发的活跃社区
http://www.kernelmode.info/forum/
恶意软件 - Lenny Zeltser提供的恶意软件博客和资源
https://zeltser.com/malicious-software/
恶意软件分析搜索 - 来自 Corey Harrell的自定义Google搜索引擎
https://cse.google.com/cse/home?cx=011750002002865445766%3Apc60zx1rliu
恶意软件分析教程 - Xiang Fu博士的恶意软件分析教程,是学习实用恶意软件分析的重要资源
http://fumalwareanalysis.blogspot.nl/p/malware-analysis-tutorials-reverse.html
恶意软件样本和流量 - 此博客重点介绍与恶意软件感染相关的网络流量
http://malware-traffic-analysis.net/
实用恶意软件分析入门套件 - 此软件包包含实用恶意软件分析手册中引用的大多数软件
https://bluesoul.me/practical-malware-analysis-starter-kit/
RPISEC恶意软件分析 - 这些是2015年秋季伦斯勒理工学院恶意软件分析课程中使用的课程材料
https://github.com/RPISEC/Malware
WindowsIR:恶意软件 -
Harlan Carvey关于恶意软件的页面
http://windowsir.blogspot.com/p/malware.html
Windows注册表规范 - Windows注册表文件格式规范https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md
/ r / csirt_tools -
CSIRT工具和资源的Subreddit,具有 恶意软件分析能力https://www.reddit.com/r/csirt_tools/
/ r / Mal ware - 恶意软件subreddit
https://www.reddit.com/r/Malware
/ r / ReverseEngineering -
逆向工程subreddit,不仅限于恶意软件https://www.reddit.com/r/ReverseEngineering
更多精彩
劲爆!WannaCry幕后真凶曝光,朝鲜黑客被指控,美国或将制裁朝鲜
*IDEA值得分享 | 转载注明出处
