你们都能用的安全工具和资源

前言

本文我们将给安全专业人员列举有价值的工具、书籍和资源，为恶意软件分析和逆向工程提供参考和帮助。

十六进制编辑器

十六进制编辑器（二进制文件编辑器或字节编辑器）是一种允许操纵计算机文件的基本二进制数据计算机程序。名称'hex'出自'hexadecimal'：用于表示二进制数据的标准数字格式

HXD https://mh-nexus.de/en/hxd/

010 Editor http://www.sweetscape.com/010editor/

Hex Workshop http://www.hexworkshop.com/

HexFiend http://ridiculousfish.com/hexfiend/

Hiew http://www.hiew.ru/

反汇编

反汇编程序与反编译器不同，反编译器的目标是高级语言而不是汇编语言。反汇编（反汇编程序的输出）通常被格式化为可读性较强的汇编语言，使其成为逆向工程工具

IDA Pro

https://www.hex-rays.com/products/ida/index.shtml

Binary Ninja https://binary.ninja/

Radare http://www.radare.org/r/

Hopper http://hopperapp.com/

Capstone http://www.capstone-engine.org/

objdump http://linux.die.net/man/1/objdump

fREedom https://github.com/cseagle/fREedom

plasma 

https://github.com/plasma-disassembler/plasma

检测和分类

AnalyzePE - 用于报告Windows PE文件的各种工具

https://github.com/hiddenillusion/AnalyzePE

Assemblyline - 可扩展的分布式文件分析框架

https://bitbucket.org/cse-assemblyline/assemblyline

BinaryAlert - 一种开源的无服务器AWS管道，可根据一组YARA规则扫描和警告上载的文件

https://github.com/airbnb/binaryalert

chkrootkit - 本地Linux rootkit检测

http://www.chkrootkit.org/

ClamAV - 开源防病毒引擎

http://www.clamav.net/

Detect-It-Easy - 用于确定文件类型的程序

https://github.com/horsicq/Detect-It-Easy

ExifTool - 读取，写入和编辑文件元数据

https://sno.phy.queensu.ca/~phil/exiftool/

File Scanning Framework - 模块化递归文件扫描解决方案

https://github.com/EmersonElectricCo/fsf

hashdeep - 使用各种算法计算摘要哈希值

https://github.com/jessek/hashdeep

Loki - 基于主机的IOC扫描仪

https://github.com/Neo23x0/Loki

Malfunction - 在功能级别编目和比较恶意软件

https://github.com/Dynetics/Malfunction

MASTIFF - 静态分析框架

https://github.com/KoreLogicSecurity/mastiff

MultiScanner - 模块化文件扫描/分析框架

https://github.com/mitre/multiscanner

nsrllookup - 在NIST的国家软件参考库数据库中查找哈希的工具

https://github.com/rjhansen/nsrllookup

packerid - PEiD的跨平台Python替代方案

http://handlers.sans.org/jclausing/packerid.py

PEV - 用于处理PE文件的多平台工具包，提供功能丰富的工具，用于正确分析可疑二进制文件

http://pev.sourceforge.net/

Rootkit Hunter - 检测Linux rootkit

http://rkhunter.sourceforge.net/

ssdeep - 计算模糊哈希值

https://ssdeep-project.github.io/ssdeep/

totalhash.py - 

用于搜索 TotalHash.cymru.com  数据库的Python脚本 

https://gist.github.com/gleblanc1783/3c8e6b379fa9d646d401b96ab5c7877f

TrID - 文件标识符

http://mark0.net/soft-trid-e.html

YARA - 分析师的模式匹配工具

https://plusvic.github.io/yara/

Yara rules generator - 根据一组恶意软件样本生成yara规则https://github.com/Neo23x0/yarGen

动态二进制仪表

动态二进制仪表工具

Pin

https://software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool 

DynamoRio http://www.dynamorio.org/

Frida https://www.frida.re/

dyninst http://www.dyninst.org/

Mac Decrypt

Mac Decrypting工具

Cerbero Profiler - 全选 - >复制到新文件

http://cerbero-blog.com/?p=1311

AppEncryptor - 用于解密的工具

https://github.com/AlanQuatermain/appencryptor

Class-Dump - deprotect选项

http://stevenygard.com/projects/class-dump/

readmem - OS X Reverser的进程转储工具

https://github.com/gdbinit/readmem

模拟器

模拟器工具

QEMU http://www.qemu-project.org/

unicorn 

https://github.com/unicorn-engine/unicorn

文件分析

文档分析工具

Ole Tools 

http://www.decalage.info/python/oletools

Didier’s PDF Tools 

http://blog.didierstevens.com/programs/pdf-tools/

Origami https://github.com/cogent/origami-pdf

动态分析

这个入门级的恶意软件动态分析课程是专门针对那些刚开始从事恶意软件分析，或是想要学习如何通过各种工具检测恶意软件遗留的人员

这是一门实践课程，学员们可以使用各种工具来查找恶意软件的类型

ProcessHacker http://processhacker.sourceforge.net/

Process Explorer

https://technet.microsoft.com/en-us/sysinternals/processexplorer

Process Monitor

https://technet.microsoft.com/en-us/sysinternals/processmonitor

Autoruns

https://technet.microsoft.com/en-us/sysinternals/bb963902

Noriben https://github.com/Rurik/Noriben

API监视器 http://www.rohitab.com/apimonitor

iNetSim http://www.inetsim.org/

Wireshark https://www.wireshark.org/download.html

Fakenet

http://practicalmalwareanalysis.com/fakenet/

Volatility

https://github.com/volatilityfoundation/volatility

Dumpit http://www.moonsols.com/products/

LiME https://github.com/504ensicsLabs/LiME

Cuckoo https://www.cuckoosandbox.org/

Objective-See Utilities

https://objective-see.com/products.html

XCode Instruments - 用于监控文件和进程的XCode工具

https://developer.apple.com/xcode/download/

fs_usage - 实时报告与文件系统活动相关的系统调用和页面错误，文件I / O：fs_usage -w -f文件系统 

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/fs_usage.1.html

dmesg - 显示系统消息缓冲区

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/dmesg.8.html

Triton https://triton.quarkslab.com/

反混淆

反向XOR和其他代码混淆方法

Balbuzard  - 用于反转混淆（XOR，ROL等）的恶意软件分析工具等

https://bitbucket.org/decalage/balbuzard/wiki/Home

de4dot  - .NET反混淆器和解包器

https://github.com/0xd4d/de4dot

ex_pe_xor ＆ iheartxor - Alexander Hanel的两个工具，用于处理单字节XOR编码文件

http://hooked-on-mnemonics.blogspot.com/p/iheartxor.html

FLOSS - FireEye Labs混淆字符串解算器，自动使用高级静态分析技术对来自恶意软件二进制文件的字符串进行反混淆处理

https://github.com/fireeye/flare-floss

NoMoreXOR - 使用频率分析256字节的XOR密钥

https://github.com/hiddenillusion/NoMoreXOR

PackerAttacker - Windows恶意软件的通用隐藏代码提取程序

https://github.com/BromiumLabs/PackerAttacke

unpacker - 基于WinAppDbg的Windows恶意软件的自动恶意软件解包器

https://github.com/malwaremusings/unpacker/

unxor - 使用已知明文攻击猜测XOR密钥

https://github.com/tomchop/unxor/

VirtualDeobfuscator - 虚拟化包装器的逆向工程工具

https://github.com/jnraber/VirtualDeobfuscator

XORBruteForcer - 用于强制执行单字节XOR键的Python脚本

http://eternal-todo.com/var/scripts/xorbruteforcer

XORSearch & XORStrings  - 来自Didier Stevens的几个程序，用于查找 XORed数据

https://blog.didierstevens.com/programs/xorsearch/

xortool  - 猜测XOR密钥长度，以及密钥本身

https://github.com/hellman/xortool

调试

在此列表中，我们可以看到反汇编程序，调试程序以及其他静态和动态分析工具的工具

跨平台调试工具

gdb https://www.gnu.org/software/gdb/

vdb https://github.com/vivisect/vivisect

lldb http://lldb.llvm.org/

qira http://qira.me/

仅限Windows的调试工具

WinDbg

https://msdn.microsoft.com/en-us/windows/hardware/hh852365.aspx

ImmunityDebugger

https://www.immunityinc.com/products/debugger/

OllyDbg v1.10 http://www.ollydbg.de/

OllyDbg v2.01 

http://www.ollydbg.de/version2.html

OllySnD 

https://tuts4you.com/download.php?view.2061

Olly Shadow

https://tuts4you.com/download.php?view.6

Olly CiMs

https://tuts4you.com/download.php?view.1206

Olly UST_2bg

https://tuts4you.com/download.php?view.1206

x64dbg http://x64dbg.com/#start

仅限Linux的调试工具

DDD http://www.gnu.org/software/ddd/

逆向工程

angr - 在UCSB的Seclab开发的二进制分析框架

https://github.com/angr/angr

bamfdetect  - 识别和提取机器人和其他恶意软件的信息

https://github.com/bwall/bamfdetect

BAP - 在Cylab开发的多平台和开源（MIT）二进制分析框架

https://github.com/BinaryAnalysisPlatform/bap

BARF - 开源二进制分析和逆向工程框架

https://github.com/programa-stic/barf-project

binnavi  - 基于图形可视化的逆向工程二进制分析IDE

https://github.com/google/binnavi

Binary ninja - 一种可逆转工程平台，可替代IDA

https://binary.ninja/

Binwalk - 固件分析工具

https://github.com/devttys0/binwalk

Bokken - Pyew和Radare的GUI

http://www.bokken.re/

Capstone  - 用于二进制分析和反转的反汇编框架

https://github.com/aquynh/capstone

codebro  - 基于Web的代码浏览器，提供基本代码分析

https://github.com/hugsy/codebro

DECAF （Dynamic Executable Code Analysis Framework）- 基于QEMU的二进制分析平台，DroidScope现在是DECAF的扩展

https://github.com/sycurelab/DECAF

dnSpy - NET汇编编辑器，反编译器和调试器

https://github.com/0xd4d/dnSpy

Evan’s DeBUGGER(EDB) - 带有Qt GUI的模块化调试器

http://codef00.com/projects#debugger

Fibratus - 用于探索和跟踪Windows内核的工具

https://github.com/rabbitstack/fibratus

FPort - 在实时系统中打开TCP / IP和UDP端口并将它们映射到所属的应用程序

https://www.mcafee.com/us/downloads/free-tools/fport.aspx

GDB - GNU调试器

http://www.sourceware.org/gdb/

GEF - GDB增强功能，适用于开发人员和逆向工程师

https://github.com/hugsy/gef

hackers-grep - 在PE可执行文件中搜索字符串的实用程序，包括导入，导出和调试符号

https://github.com/codypierce/hackers-grep

Hopper - macOS和Linux反汇编程序

https://www.hopperapp.com/

IDA Pro - Windows反汇编程序和调试程序，具有免费评估版

https://www.hex-rays.com/products/ida/index.shtml

Immunity Debugger - 用于恶意软件分析的调试器，使用Python API

http://debugger.immunityinc.com/

ILSpy - ILSpy是开源.NET程序集浏览器和反编译器

http://ilspy.net/

Kaitai Struct - 用于文件格式/网络协议/数据结构的DSL逆向工程和剖析，包括C ++，C＃，Java，JavaScript，Perl，PHP，Python，Ruby的代码生成

http://kaitai.io/

LIEF - LIEF提供了一个跨平台的库来解析，修改和抽象ELF，PE和MachO格式

https://lief.quarkslab.com/

ltrace - Linux可执行文件的动态分析

http://ltrace.org/

objdump - GNU binutils的一部分，用于Linux二进制文件的静态分析

https://en.wikipedia.org/wiki/Objdump

OllyDbg - Windows可执行文件的汇编级调试器

http://www.ollydbg.de/

PANDA - 中性动态分析

https://github.com/moyix/panda

PEDA - 针对GDB的Python漏洞利用开发协助，增强显示和添加命令

https://github.com/longld/peda

pestudio - 执行Windows可执行文件的静态分析

https://winitor.com/

Pharos - Pharos二进制分析框架，可用于执行二进制文件的自动静态分析

https://github.com/cmu-sei/pharos

plasma - 用于x86 / ARM / MIPS的交互式反汇编程序

https://github.com/plasma-disassembler/plasma

PPEE（puppy）- 专业PE文件浏览器

https://www.mzrst.com/

Process Explorer - Windows的高级任务管理器

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Process Hacker - 监视系统资源的工具

http://processhacker.sourceforge.net/

Process Monitor - 用于Windows程序的高级监视工具

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

PSTools - 帮助管理和调查实时系统的Windows命令行工具

https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

Pyew - 用于恶意软件分析的Python工具

https://github.com/joxeankoret/pyew

PyREBox - 思科Talos团队的Python脚本化逆向工程沙箱

https://github.com/Cisco-Talos/pyrebox

QKD - QEMU带有嵌入式WinDbg服务器，用于隐身调试

https://github.com/ispras/qemu/releases/

Radare2 - 反向工程框架，支持调试器

http://www.radare.org/r/

RegShot - 比较快照的注册表比较实用程序

https://sourceforge.net/projects/regshot/

RetDec - 

具有在线反编译服务和API的Retargetable机器代码反编译器 

https://retdec.com/

ROPMEMU - 分析，剖析和反编译复杂代码重用攻击的框架

https://github.com/Cisco-Talos/ROPMEMU

SMRT - Sublime恶意软件研究工具，Sublime 3的插件，用于帮助恶意软件分析

https://github.com/pidydx/SMRT

strace - Linux可执行文件的动态分析

https://sourceforge.net/projects/strace/

Triton - 动态二进制分析（DBA）框架

https://triton.quarkslab.com/

Udis86 - 用于x86和x86_64的反汇编程序库和工具

https://github.com/vmt/udis86

Vivisect - 用于恶意软件分析的Python工具

https://github.com/vivisect/vivisect

WinDbg - 用于Microsoft Windows计算机操作系统的多用途调试器，用于调试用户模式应用程序，设备驱动程序和内核模式内存转储

https://developer.microsoft.com/en-us/windows/hardware/download-windbg

X64dbg - 用于Windows的开源x64 / x32调试器

https://github.com/x64dbg/

二进制格式和二进制分析

复合文件二进制格式是几种不同的Microsoft文件格式（如Microsoft Office文档和Microsoft Installer程序包）使用的基本容器

CFF资源管理器

http://www.ntcore.com/exsuite.php

Cerbero Profiler // Lite PE Insider

http://cerbero.io/profiler/

http://cerbero.io/peinsider/

Detect It EASY http://ntinfo.biz/

PeStudio http://www.winitor.com/

PEID 

https://tuts4you.com/download.php?view.398

MachoView https://github.com/gdbinit/MachOView

nm - 查看符号

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/nm.1.html

file -文件信息

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/file.1.html

codesign - 代码签名信息用法：codesign -dvvv文件名https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/codesign.1.html

二进制分析资源

Mobius Resources

http://www.msreverseengineering.com/research/

z3 https://z3.codeplex.com/

bap https://github.com/BinaryAnalysisPlatform/bap

angr https://github.com/angr/angr

反编译器

反编译器是一种计算机程序，它输入可执行文件，并尝试创建可以成功重新编译的高级源文件。因此它与编译器相反，后者采用源文件并生成可执行文件

通用反编译器

HexRay 

https://www.hex-rays.com/products/decompiler/

RetDec https://retdec.com/decompilation/

Boomerang http://boomerang.sourceforge.net/

Java Decompiler

Procyon

https://bitbucket.org/mstrobel/procyon/wiki/Java%20Decompiler

JD-GUI http://jd.benow.ca/

JAD https://varaneckas.com/jad/

NET反编译器

JustDecompile 

http://www.telerik.com/products/decompiler.aspx

dotPeek https://www.jetbrains.com/decompiler/

Delphi反编译器

IDR http://kpnc.org/idr32/en/

Revendepro 

http://www.ggoossen.net/revendepro/

Python反编译器

Uncompyle6 

https://github.com/rocky/python-uncompyle6/

Decompyle ++ https://github.com/zrax/pycdc

字节码分析

字节码分析工具

dnSpy https://github.com/0xd4d/dnSpy

字节码查看器 https://bytecodeviewer.com/

字节码查看器 https://bytecodeviewer.com/

字节可视化 

http://www.drgarbage.com/bytecode-visualizer/

JPEXS Flash Decompiler

https://www.free-decompiler.com/flash/

导入重构

导入重构工具

ImpRec

http://www.woodmann.com/collaborative/tools/index.php/ImpREC

Scylla https://github.com/NtQuery/Scylla

LordPE

http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip

在线扫描仪和沙箱

以下工具用于基于Web的多AV扫描仪，以及用于自动分析的恶意软件沙箱

anlyz.io - 在线沙箱

https://sandbox.anlyz.io/

AndroTotal - 针对多个移动防病毒应用程序免费在线分析APK

https://andrototal.org/

AVCaesar - Malware.lu在线扫描程序和恶意软件存储库

https://avcaesar.malware.lu/

Cryptam - 分析可疑的办公文档

http://www.cryptam.com/

Cuckoo Sandbox - 开源，自托管沙箱和自动分析系统

https://cuckoosandbox.org/

cuckoo-modified - 

根据GPL发布的Cuckoo Sandbox的修改版本，由于作者的法律问题，未合并上传

https://github.com/brad-accuvant/cuckoo-modified

DeepViz - 具有机器学习分类的多格式文件分析器

https://www.deepviz.com/

detux - 开发用于对Linux恶意软件进行流量分析并捕获IOC的沙箱

https://github.com/detuxsandbox/detux/

DRAKVUF - 动态恶意软件分析系统

https://github.com/tklengyel/drakvuf

firmware.re - 解压缩，扫描和分析几乎所有固件包

http://firmware.re/

HaboMalHunter - Linux ELF文件的自动恶意软件分析工具

https://github.com/Tencent/HaboMalHunter

混合分析 - 在线恶意软件分析工具，由VxSandbox提供支持

https://www.hybrid-analysis.com/

IRMA - 针对可疑文件的异步和可自定义分析平台

http://irma.quarkslab.com/

Joe Sandbox - 使用Joe Sandbox进行深度恶意软件分析

https://www.joesecurity.org/

Jotti  - 免费在线多AV扫描仪

https://virusscan.jotti.org/en

Limon - 用于分析Linux恶意软件的沙箱

https://github.com/monnappa22/Limon

Malheur - 恶意软件行为的自动沙盒分析

https://github.com/rieck/malheur

malsub - 用于在线恶意软件和URL分析服务的Python RESTful API框架

https://github.com/diogo-fernan/malsub

恶意软件配置 - 从常见恶意软件中在线提取，解码和显示配置设置

https://malwareconfig.com/

Malwr - 使用在线Cuckoo Sandbox实例进行免费分析

https://malwr.com/

MASTIFF Online - 恶意软件的在线静态分析

https://mastiff-online.korelogic.com/

Metadefender.com - 扫描恶意软件的文件，哈希或IP地址（免费）

https://www.metadefender.com/

NetworkTotal  - 一种分析pcap文件的服务，可以使用配置了EmergingThreats Pro的Suricata快速检测病毒，蠕虫，特洛伊木马和各种恶意软件

https://www.networktotal.com/index.html

Noriben - 使用Sysinternals Procmon收集有关沙盒环境中恶意软件的信息

https://github.com/Rurik/Noriben

PDF Examiner - 分析可疑的PDF文件

http://www.pdfexaminer.com/

ProcDot  - 图形恶意软件分析工具包

http://www.procdot.com/

重组器  - 用于将二进制文件安全地上载到沙箱站点的帮助程序脚本

https://github.com/secretsquirrel/recomposer

Sand droid - 自动完整的Android应用程序分析系统

http://sanddroid.xjtu.edu.cn/

SEE - 沙盒执行环境（SEE）是用于在安全环境中构建测试自动化的框架

https://github.com/F-Secure/see

VirusTotal - 免费在线分析恶意软件样本和URL

https://www.virustotal.com/

Visualize_Logs - 用于日志的开源可视化库和命令行工具（Cuckoo，Procmon......）

https://github.com/keithjjones/visualize_logs

Zeltser‘s List - 由Lenny Zeltser编写的免费自动沙箱和服务

https://zeltser.com/automated-malware-analysis

脚本

IDA Python Src https://github.com/idapython/src

IDC Functions Doc

https://www.hex-rays.com/products/ida/support/idadoc/162.shtml

Using IDAPython to Make your Life Easier

http://researchcenter.paloaltonetworks.com/tag/idapython/

IDA Python简介

https://tuts4you.com/download.php?view.3229

IDA Python初学者指南

https://leanpub.com/IDAPython-Book

IDA插件大赛 https://www.hex-rays.com/contests/

onehawt IDA插件列表

https://github.com/onethawt/idaplugins-list

pefile Python Libray 

https://github.com/erocarrera/pefile

Android

Android工具

Android Developer Studio 

http://developer.android.com/sdk/index.html

AndroGuard https://github.com/androguard/androguard/

APKtool http://ibotpeaches.github.io/Apktool/

dex2jar https://github.com/pxb1988/dex2jar

字节码查看器 https://bytecodeviewer.com/

IDA Pro 

https://www.hex-rays.com/products/ida/index.shtml

Yara

Yara资源

Yara docs

http://yara.readthedocs.org/en/v3.4.0/writingrules.html

cheatsheet

https://gist.github.com/0xtyh/eeabc765e9befad9b80a

yarGen https://github.com/Neo23x0/yarGen

Yara First Presentation

https://github.com/xathrya/awesome-list/blob/master/Users/thalfpop/Downloads/first_2014_-_schuster-_andreas_-_yara_basic_and_advanced_20140619.pdf

记忆取证

用于在内存映像或运行系统中剖析恶意软件的工具

BlackLight - 支持hiberfil，页面文件，原始内存分析的Windows / MacOS取证客户端

https://www.blackbagtech.com/blacklight.html

DAMM - 基于波动率内存中恶意软件的差异分析

https://github.com/504ensicsLabs/DAMM

evolve - Volatility Memory取证框架的Web界面

https://github.com/JamesHabben/evolve

FindAES - 在内存中查找AES加密密钥

http://jessekornblum.livejournal.com/269749.html

inVtero.net - 用.NET开发的高速内存分析框架，支持所有Windows x64，包括代码完整性和写入支持

https://github.com/ShaneK2/inVtero.net

Muninn - 使用Volatility自动化部分分析的脚本，并创建可读报告

https://github.com/ytisf/muninn

Rekall - 内存分析框架，源于2013年的Volatility

http://www.rekall-forensic.com/

TotalRecall - 基于Volatility的脚本，用于自动执行各种恶意软件分析任务

https://github.com/sketchymoose/TotalRecall

VolDiff - 在恶意软件执行之前和之后对内存映像运行Volatility，并报告更改

https://github.com/aim4r/VolDiff

Volatility - 先进的记忆取证框架

https://github.com/volatilityfoundation/volatility

VolUtility -波动率内存分析框架的Web界面

https://github.com/kevthehermit/VolUtility

WDBGARK - WinDBG Anti-RootKit扩展

https://github.com/swwwolf/wdbgark

WinDbg - Windows系统的实时内存检查和内核调试

https://developer.microsoft.com/en-us/windows/hardware/windows-driver-kit

Windows工件

AChoir - 用于收集Windows工件的实时事件响应脚本

https://github.com/OMENScan/AChoir

python-evt - 用于解析Windows事件日志的Python库

https://github.com/williballenthin/python-evt

python-registry - 用于解析注册表文件的Python库

http://www.williballenthin.com/registry/

RegRipper（GitHub） - 基于插件的注册表分析工具

http://brettshavers.cc/index.php/brettsblog/tags/tag/regripper/

存储和工作流程

Aleph - 开源恶意软件分析管道系统

https://github.com/merces/aleph

CRIT s - 一个恶意软件威胁库

https://crits.github.io/

FAME - 一个恶意软件分析框架，其特色是可以使用自定义模块进行扩展的管道，这些模块可以链接并相互交互以执行端到端分析

https://certsocietegenerale.github.io/fame/

Malwarehouse  - 存储，标记和搜索恶意软件

https://github.com/sroberts/malwarehouse

Polichombr - 一种恶意软件分析平台，旨在帮助分析师协同反转恶意软件

https://github.com/ANSSI-FR/polichombr

stoQ - 分布式内容分析框架，具有广泛的插件支持，从输入到输出，以及介于两者之间的所有内容

http://stoq.punchcyber.com/

Viper - 分析师和研究人员的二进制管理和分析框架

http://viper.li/

恶意软件样本

收集恶意软件样本进行分析

Clean MX  - 恶意软件和恶意域的实时数据库

http://support.clean-mx.de/clean-mx/viruses.php

Contagio  - 最近的恶意软件样本和分析集合

http://contagiodump.blogspot.com/

漏洞数据库  - 利用和shellcode样本

https://www.exploit-db.com/

Malshare - 恶意软件的大型存储库

https://malshare.com/

MalwareDB - 恶意软件样本存储库

http://malwaredb.malekal.com/

打开恶意软件项目 - 示例信息下载

http://openmalware.org/

Ragpicker - 基于插件的恶意软件爬虫，具有预分析和报告功能

https://github.com/robbyFux/Ragpicker

theZoo - 分析师的真实恶意软件样本

https://github.com/ytisf/theZoo

Tracker h3x - 用于恶意软件语料库跟踪器和恶意下载站点的 Agregator

http://tracker.h3x.eu/

ViruSign - 恶意软件数据库

http://www.virussign.com/

VirusShare - 恶意软件存储库，需要注册

https://virusshare.com/

VX Vault - 恶意软件样本的主动收集

http://vxvault.net/

Zeltser的来源 - Lenny Zeltser汇总的恶意软件样本源列表

https://zeltser.com/malware-sample-sources/

Zeus源代码 - Zeus木马的来源于2011年泄露

https://github.com/Visgean/Zeus

课程

逆向工程课程

莱纳斯为新手逆转

https://tuts4you.com/download.php?list.17

开放式安全培训

http://opensecuritytraining.info/Training.html

傅博士的恶意软件分析

http://fumalwareanalysis.blogspot.sg/p/malware-analysis-tutorials-reverse.html

二元审计课程 http://www.binary-auditing.com/

TiGa的视频教程 http://www.woodmann.com/TiGa/

随机传说

https://tuts4you.com/download.php?list.97

现代二元开发

http://security.cs.rpi.edu/courses/binexp-spring2015/

RPISEC恶意软件课程 

https://github.com/RPISEC/Malware

SANS FOR 610 GREM

https://www.sans.org/course/reverse-engineering-malware-malware-analysis-tools-techniques/Type/asc/all

REcon培训 https://recon.cx/2015/training.html

黑帽训练

https://www.blackhat.com/us-16/training/

进攻性安全

https://www.offensive-security.com/information-security-training/

Corelan培训 https://www.corelan-training.com/

攻击性和防御性Android逆转

https://github.com/rednaga/training/raw/master/DEFCON23/O%26D%20-%20Android%20Reverse%20Engineering.pdf

域分析

检查域和IP地址

badips.com  - 基于社区的IP黑名单服务

https://www.badips.com/

boomerang  - 一种用于一致且安全地捕获网络外网络资源的工具

https://github.com/EmersonElectricCo/boomerang

Cymon  - 威胁情报跟踪器，具有IP /域/哈希搜索功能

https://cymon.io/

Desenmascara.me  - 一键式工具，可以为网站检索尽可能多的元数据，并评估其良好的信誉

http://desenmascara.me/

Dig  - 免费在线挖掘和其他网络工具

https://networking.ringofsaturn.com/

dnstwist  - 用于检测拼写错误，网络钓鱼和企业间谍活动的域名置换引擎

https://github.com/elceef/dnstwist

IPinfo  - 通过搜索在线资源收集有关IP或域的信息

https://github.com/hiddenillusion/IPinfo

Machinae  - 用于收集有关URL，IP或哈希信息的OSINT工具，与Automator相似

https://github.com/hurricanelabs/machinae

mailchecker  - 跨语言临时电子邮件检测库

https://github.com/FGRibreau/mailchecker

MaltegoVT  - VirusTotal API的Maltego转换，允许域/ IP研究，以及搜索文件哈希和扫描报告

https://github.com/michael-yip/MaltegoVT

Multi rbl  - 多个DNS黑名单和转发已确认的反向DNS查询超过300个RBL

http://multirbl.valli.org/

NormShield Services  - 用于检测可能的网络钓鱼域，列入黑名单的IP地址和违反帐户的免费API服务

https://services.normshield.com/

SpamCop  - 基于IP的垃圾邮件阻止列表

https://www.spamcop.net/bl.shtml

SpamHaus  - 基于域和IP的阻止列表

https://www.spamhaus.org/lookup/

Sucuri SiteCheck  - 免费网站恶意软件和安全扫描程序

https://sitecheck.sucuri.net/

Talos Intelligence  - 搜索IP，域或网络所有者（以前是SenderBase）

https://talosintelligence.com/

TekDefense Automater  - 用于收集有关URL，IP或哈希值的信息的OSINT工具

http://www.tekdefense.com/automater/

URLQuery  - 免费的URL扫描程序

http://urlquery.net/

Whois  - DomainTools免费在线whois搜索

https://whois.domaintools.com/

Zeltser’s List  - 由Lenny Zeltser编写的免费在线工具，用于研究恶意网站

https://zeltser.com/lookup-malicious-websites/

ZScalar Zulu  - Zulu URL风险分析器

https://zulu.zscaler.com/

书籍

最重要的逆向工程书籍

IDA Pro Book http://amzn.com/1593272898

初学者的逆向工程 http://beginners.re/

汇编语言的艺术 http://amzn.com/1593272073

实用逆向工程 http://amzn.com/B00IA22R2Y

逆转：逆向工程的秘密 

http://amzn.com/B007032XZK

实用的恶意软件分析 http://amzn.com/1593272901

恶意软件分析师的食谱 

http://amzn.com/B0047DWCMA

灰帽子黑客 http://amzn.com/0071832386

记忆取证的艺术 http://amzn.com/1118825098

黑客：剥削的艺术 http://amzn.com/1593271441

模糊软件安全 http://amzn.com/1596932147

软件安全评估的艺术 http://amzn.com/0321444426

防病毒黑客手册 http://amzn.com/1119028752

The Rootkit Arsenal 

http://amzn.com/144962636X

Windows Internals第1 、2部分 

http://amzn.com/0735648735

Windows调试之中 http://amzn.com/0735662789

iOS逆向工程

https://github.com/iosre/iOSAppReverseEngineering

文档和Shellcode

从PDF和Office文档分析恶意JS和shellcode

AnalyzePDF - 用于分析PDF并尝试确定它们是否是恶意的工具

https://github.com/hiddenillusion/AnalyzePDF

box-js - 用于研究JavaScript恶意软件的工具，具有JScript / WScript支持和ActiveX仿真功能

https://github.com/CapacitorSet/box-js

diStorm - 用于分析恶意shellcode的反汇编程序

http://www.ragestorm.net/distorm/

JS Beautifier - JavaScript解包和反混淆

http://jsbeautifier.org/

JS Deobfuscator - 

反混淆使用eval或document.write隐藏其代码的简单Javascript

http://www.kahusecurity.com/2015/new-javascript-deobfuscator-tool/

libemu - 用于x86 shellcode仿真的库和工具

http://libemu.carnivore.it/

malpdfobj - 将恶意PDF解构为JSON表示

https://github.com/9b/malpdfobj

OfficeMalScanner - 扫描MS Office文档中的恶意跟踪

http://www.reconstructer.org/code.html

olevba -用于解析OLE和OpenXML文档以及提取有用信息的脚本

http://www.decalage.info/python/olevba

Origami PDF - 用于分析恶意PDF的工具等

https://code.google.com/archive/p/origami-pdf

PDF工具 - 

来自Didier Stevens的pdfid，pdf-parser等

https://blog.didierstevens.com/programs/pdf-tools/

PDF X-Ray Lite - PDF分析工具，PDF X-RAY的后端版本

https://github.com/9b/pdfxray_lite

peepdf -用于探索可能的恶意PDF的Python工具

http://eternal-todo.com/tools/peepdf-pdf-analysis-tool

QuickSand - QuickSand是一个紧凑的C框架，用于分析可疑的恶意软件文档，以识别不同编码流中的漏洞，并定位和提取嵌入的可执行文件

https://www.quicksand.io/

Spidermonkey - Mozilla的JavaScript引擎，用于调试恶意JS

https://developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey

实践

练习逆向工程，警惕恶意软件

Crackmes.de http://www.crackmes.de/

OSX Crackmes https://reverse.put.as/crackmes/

ESET挑战

http://www.joineset.com/jobs-analyst.html

Flare-on挑战 http://flare-on.com/

Github CTF档案馆 http://github.com/ctfs/

逆向工程挑战 http://challenges.re/

xorpd高级装配练习

http://www.xorpd.net/pages/xchg_rax/snip_00.html

Virusshare.com http://virusshare.com/

Contagio http://contagiodump.blogspot.com/

恶意软件流量分析

https://malware-traffic-analysis.com/

Malshare http://malshare.com/

恶意软件黑名单

http://www.malwareblacklist.com/showMDL.php

malwr.com https://malwr.com/

vxvault http://vxvault.net/

开源威胁情报工具

捕捉和分析IOC

AbuseHelper  - 用于接收和重新分发滥用情况和威胁情报的开源框架

https://github.com/abusesa/abusehelper

AlienVault Open Threat Exchange - 共享和协作开发威胁情报

https://otx.alienvault.com/

Combine  - 从公开来源收集威胁情报指标的工具

https://github.com/mlsecproject/combine

Fileintel  - 智能提取每个文件哈希

https://github.com/keithjjones/fileintel

Hostintel - 智能提取每个主机

https://github.com/keithjjones/hostintel

IntelMQ - 

用于使用消息队列处理事件数据的 CERT的工具

https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/incident-handling-automation

I OC Editor - XML IOC文件的免费编辑器

https://www.fireeye.com/services/freeware/ioc-editor.html

ioc_writer - 

用于处理Mandiant的OpenIOC对象的Python库

https://github.com/mandiant/ioc_writer

Massive Octo Spice - 以前称为CIF（集体智慧框架），从各种列表聚合IOC，由 CSIRT小工具基金会策划 

https://github.com/csirtgadgets/massive-octo-spice

MISP - 由 MISP项目策划的恶意软件信息共享平台 

https://github.com/MISP/MISP

Pulsedive - 免费的社区驱动威胁情报平台，从开源源收集IOC

https://pulsedive.com/

PyIOCe - Python OpenIOC编辑器

https://github.com/pidydx/PyIOCe

RiskIQ - 研究，连接，标记和共享IP和域

https://community.riskiq.com/

threataggregator - 聚合来自多个来源的安全威胁

https://github.com/jpsenior/threataggregator

ThreatCrowd - 威胁搜索引擎，具有图形可视化功能

https://www.threatcrowd.org/

ThreatTracker - 一个Python脚本，用于监视和生成基于由一组Google自定义搜索引擎索引的IOC的警报

https://github.com/michael-yip/ThreatTracker

TIQ-test - 威胁情报源的数据可视化和统计分析

https://github.com/mlsecproject/tiq-test

其他资源

APT笔记 - 与高级持续威胁相关的论文和笔记集

https://github.com/aptnotes/data

文件格式海报 - 常用文件格式（包括PE和ELF）的可视化

https://github.com/corkami/pics

蜜罐项目 - 蜜罐工具，论文和其他资源

http://honeynet.org/

内核模式 - 一个致力于恶意软件分析和内核开发的活跃社区

http://www.kernelmode.info/forum/

恶意软件 - Lenny Zeltser提供的恶意软件博客和资源

https://zeltser.com/malicious-software/

恶意软件分析搜索 - 来自 Corey Harrell的自定义Google搜索引擎 

https://cse.google.com/cse/home?cx=011750002002865445766%3Apc60zx1rliu

恶意软件分析教程  - Xiang Fu博士的恶意软件分析教程，是学习实用恶意软件分析的重要资源

http://fumalwareanalysis.blogspot.nl/p/malware-analysis-tutorials-reverse.html

恶意软件样本和流量  - 此博客重点介绍与恶意软件感染相关的网络流量

http://malware-traffic-analysis.net/

实用恶意软件分析入门套件 - 此软件包包含实用恶意软件分析手册中引用的大多数软件

https://bluesoul.me/practical-malware-analysis-starter-kit/

RPISEC恶意软件分析 - 这些是2015年秋季伦斯勒理工学院恶意软件分析课程中使用的课程材料

https://github.com/RPISEC/Malware

WindowsIR：恶意软件 - 

Harlan Carvey关于恶意软件的页面

http://windowsir.blogspot.com/p/malware.html

Windows注册表规范 - Windows注册表文件格式规范https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md

/ r / csirt_tools - 

CSIRT工具和资源的Subreddit，具有 恶意软件分析能力https://www.reddit.com/r/csirt_tools/

/ r / Mal ware - 恶意软件subreddit

https://www.reddit.com/r/Malware

/ r / ReverseEngineering - 

逆向工程subreddit，不仅限于恶意软件https://www.reddit.com/r/ReverseEngineering

更多精彩

【黑科技】嘘！黑客只靠听，就能攻陷你的电脑

劲爆！WannaCry幕后真凶曝光，朝鲜黑客被指控，美国或将制裁朝鲜

夭寿啦！Tor浏览器扒光了暗网的底裤

内含PoC | 才刚编辑文件，就被看光了数据库信息

内含PoC | Python安装包：悄悄地触发恶意代码

*IDEA值得分享 | 转载注明出处