惡意軟件分析大合集

作者：recodeking

項目地址：https://github.com/recodeking/MalwareAnalysis

這個列表記錄著那些令人稱贊的惡意軟件分析工具和資源。受到 awesome-python 和 awesome-php 的啟迪。

惡意軟件分析大合集

惡意軟件集合

匿名代理

對于分析人員的 Web 流量匿名方案

• Anonymouse.org - 一個免費、基于 Web 的匿名代理
• OpenVPN - VPN 軟件和托管解決方案
• Privoxy - 一個帶有隱私保護功能的開源代理服務器
• Tor - 洋蔥路由器，為了在瀏覽網頁時不留下客戶端 IP 地址

蜜罐

捕獲和收集你自己的樣本

• Conpot - ICS/SCADA 蜜罐
• Cowrie - 基于 Kippo 的 SSH 蜜罐
• Dionaea - 用來捕獲惡意軟件的蜜罐
• Glastopf - Web 應用蜜罐
• Honeyd - 創建一個虛擬蜜罐
• HoneyDrive - 蜜罐包的 Linux 發行版
• Mnemosyne - 受 Dinoaea 支持的蜜罐數據標準化
• Thug - 用來調查惡意網站的低交互蜜罐

惡意軟件樣本庫

收集用于分析的惡意軟件樣本

• Clean MX - 惡意軟件和惡意域名的實時數據庫
• Contagio - 近期的惡意軟件樣本和分析的收集
• Exploit Database - Exploit 和 shellcode 樣本
• Malshare - 在惡意網站上得到的大量惡意樣本庫
• MalwareDB - 惡意軟件樣本庫
• Open Malware Project - 樣本信息和下載
• Ragpicker - 基于 malware crawler 的一個插件
• theZoo - 分析人員的實時惡意樣本庫
• Tracker h3x - Agregator 的惡意軟件跟蹤和下載地址
• ViruSign - 除 ClamAV 外的反病毒程序檢出的惡意軟件數據庫
• VirusShare - 惡意軟件庫
• VX Vault - 惡意軟件樣本的主動收集
• - 由 Lenny Zeltser 整理的惡意軟件樣本源列表
• Zeus Source Code - 2011 年 Zeus 源碼泄露

開源威脅情報

工具

收集、分析 IOC 信息

• AbuseHelper - 用于接收和重新分發威脅情報的開源框架
• AlienVault Open Threat Exchange - 威脅情報的共享與合作
• Combine - 從公開的信息源中得到威脅情報信息
• Fileintel - 文件情報
• Hostintel - 主機情報
• IntelMQ - CERT 使用消息隊列來處理應急數據的工具
• IOC Editor - Mandiant 出品的一個免費的 XML IOC 文件編輯器
• ioc_writer - 開發的用于 OpenIOC 對象的 Python 庫
• Massive Octo Spice - 由 CSIRT Gadgets Foundation發起，之前叫做 CIF (Collective Intelligence Framework)，從各種信息源聚合 IOC 信息
• MISP - 由 The MISP Project 發起的惡意軟件信息共享平臺
• PassiveTotal - 研究、鏈接、標注和分享 IP 與 域名
• PyIOCe - 一個 Python OpenIOC 編輯器
• threataggregator - 聚合來自多個信息源的安全威脅，包括 other resources 列表中的一些
• ThreatCrowd - 帶有圖形可視化的威脅搜索引擎
• TIQ-test - 威脅情報源的數據可視化和統計分析

其他資源

威脅情報和 IOC 資源

• Autoshun (list) - Snort 插件和黑名單
• Bambenek Consulting Feeds - 基于惡意 DGA 算法的 OSINT 訂閱
• Fidelis Barncat - 可擴展的惡意軟件配置數據庫（必須有請求權限）
• CI Army (list) - 網絡安全黑名單
• Critical Stack- Free Intel Market - 免費的英特爾去重聚合項目，有超過 90 種訂閱以及超過一百二十萬個威脅情報信息
• CRDF ThreatCenter - 由 CRDF 提供的新威脅檢出
• Cybercrime tracker - 多個僵尸網絡的活動跟蹤
• FireEye IOCs - 由 FireEye 共享的 IOC 信息
• FireHOL IP Lists - 針對攻擊、惡意軟件的更改歷史、國家地圖和保留政策的 350+ IP 的跟蹤
• hpfeeds - 蜜罐訂閱協議
• Internet Storm Center (DShield) - 日志和可搜索的事件數據庫，并且帶有 Web API(非官方 Python 庫).
• malc0de - 搜索事件數據庫
• Malware Domain List - 搜索和分享惡意軟件 URL
• OpenIOC - 威脅情報共享框架
• Palevo Blocklists - 蜜罐 C&C 黑名單
• Proofpoint Threat Intelligence - 以前新興威脅的規則集
• Ransomware overview - 勒索軟件的概述列表
• STIX - Structured Threat Information eXpression - 通過標準化的語言來表示、共享網絡威脅信息 MITRE 相關:
• CAPEC - 常見攻擊模式枚舉與分類
• CybOX - 網絡觀測 eXpression
• MAEC - 惡意軟件特征枚舉與界定
• TAXII - 可信的指標信息自動化交換
• threatRECON - 搜索指標，每月最多一千次
• Yara rules - Yara 規則集
• ZeuS Tracker - ZeuS 黑名單

檢測與分類

反病毒和其他惡意軟件識別工具

• AnalyzePE - Windows PE 文件的分析器
• chkrootkit - 本地 Linux rootkit 檢測
• ClamAV - 開源反病毒引擎
• Detect-It-Easy - 用于確定文件類型的程序
• ExifTool - 讀、寫、編輯文件的元數據
• File Scanning Framework - 模塊化的遞歸文件掃描解決方案
• hashdeep - 用各種算法計算哈希值
• Loki - 基于主機的 IOC 掃描器
• Malfunction - 在功能層面對惡意軟件進行分類和比較
• MASTIFF - 靜態分析框架
• MultiScanner - 模塊化文件掃描/分析框架
• nsrllookup - 查詢 NIST's National Software Reference Library 數據庫中哈希的工具
• packerid - 跨平臺的 PEiD 的替代品
• PEV - 為正確分析可疑的二進制文件提供功能豐富工具的 PE 文件多平臺分析工具集
• Rootkit Hunter - 檢測 Linux 的 rootkits
• ssdeep - 計算模糊哈希值
• totalhash.py - 一個簡單搜索TotalHash.com 數據庫的 Python 腳本
• TrID - 文件識別
• YARA - 分析師利用的模式識別工具
• Yara rules generator - 基于惡意樣本生成 yara 規則，也包含避免誤報的字符串數據庫

在線掃描與沙盒

基于 Web 的多反病毒引擎掃描器和惡意軟件自動分析的沙盒

• APK Analyzer - APK 免費動態分析
• AndroTotal - 利用多個移動反病毒軟件進行免費在線分析 App
• AVCaesar - Malware.lu 在線掃描器和惡意軟件集合
• Cryptam - 分析可疑的 Office 文檔
• Cuckoo Sandbox - 開源、自主的沙盒和自動分析系統
• cuckoo-modified - GPL 許可證的 Cuckoo 沙盒的修改版，由于法律原因作者沒有將其分支合并
• cuckoo-modified-api - 用于控制 cuckoo-modified 沙盒的 Python API
• DeepViz - 通過機器學習分類來分析的多格式文件分析器
• detux - 一個用于對 Linux 惡意軟件流量分析與 IOC 信息捕獲的沙盒
• Document Analyzer - DOC 和 PDF 文件的免費動態分析
• DRAKVUF - 動態惡意軟件分析系統
• File Analyzer - 免費 PE 文件動態分析
• firmware.re - 解包、掃描、分析絕大多數固件包
• Hybrid Analysis - 由 VxSandbox 支持的在線惡意軟件分析工具
• IRMA - 異步、可定制的可疑文件分析平臺
• Joe Sandbox - 深度惡意軟件分析
• Jotti - 免費在線多反病毒引擎掃描器
• Limon - 分析 Linux 惡意軟件的沙盒
• Malheur - 惡意行為的自動化沙盒分析
• Malware config - 從常見的惡意軟件提取、解碼和在線配置
• Malwr - 免費的在線 Cuckoo 沙盒分析實例
• MASTIFF Online - 在線惡意軟件靜態分析
• Metadefender.com - 掃描文件、哈希或惡意軟件的 IP 地址
• NetworkTotal - 一個分析 pcap 文件的服務，使用配置了 EmergingThreats Pro 的Suricata 快速檢測病毒、蠕蟲、木馬和各種惡意軟件
• Noriben - 使用 Sysinternals Procmon 收集惡意軟件在沙盒環境下的進程信息
• PDF Examiner - 收集可疑的 PDF 文件
• ProcDot - 一個可視化惡意軟件分析工具集
• Recomposer - 安全上傳二進制程序到沙盒網站的輔助腳本
• Sand droid - 自動化、完整的 Android 應用程序分析系統
• SEE - 在安全環境中構建測試自動化的框架
• URL Analyzer - 對 URL 文件的動態分析
• VirusTotal - 免費的在線惡意軟件樣本和 URL 分析
• Visualize_Logs - 用于日志的開源可視化庫和命令行工具（Cuckoo、Procmon 等）
• - Lenny Zeltser 創建的免費自動沙盒服務

• Desenmascara.me - 一鍵點擊即可得到盡可能多的檢索元數據以評估一個網站的信譽度
• Dig - 免費的在線 dig 以及其他網絡工具
• dnstwist - 用于檢測釣魚網站和公司間諜活動的域名排名網站
• IPinfo - 通過搜索在線資源收集關于 IP 或 域名的信息
• Machinae - 類似 Automator 的 OSINT 工具，用于收集有關 URL、IP 或哈希的信息
• mailchecker - 跨語言臨時郵件檢測庫
• MaltegoVT - 讓 Maltego 使用 VirusTotal API，允許搜索域名、IP 地址、文件哈希、報告
• Multi rbl - 多個 DNS 黑名單，反向查找超過 300 個 RBL。
• SenderBase - 搜索 IP、域名或網絡的所有者
• SpamCop - 垃圾郵件 IP 黑名單IP
• SpamHaus - 基于域名和 IP 的黑名單
• Sucuri SiteCheck - 免費的網站惡意軟件與安全掃描器
• TekDefense Automator - 收集關于 URL、IP 和哈希值的 OSINT 工具
• URLQuery - 免費的 URL 掃描器
• Whois - DomainTools 家免費的 whois 搜索
• - 由 Lenny Zeltser 整理的免費在線惡意軟件工具集
• ZScalar Zulu - Zulu URL 風險分析

瀏覽器惡意軟件

分析惡意 URL，也可以參考 domain analysis 和 documents and shellcode 部分

• Firebug - Firefox Web 開發擴展
• Java Decompiler - 反編譯并檢查 Java 的應用
• Java IDX Parser - 解析 Java IDX 緩存文件
• JSDetox - JavaScript 惡意軟件分析工具
• jsunpack-n - 一個 javascript 解壓軟件，可以模擬瀏覽器功能
• Krakatau - Java 的反編譯器、匯編器與反匯編器
• Malzilla - 分析惡意 Web 頁面
• RABCDAsm - 一個健壯的 ActionScript 字節碼反匯編
• swftools - PDF 轉換成 SWF 的工具
• xxxswf - 分析 Flash 文件的 Python 腳本

文檔和 Shellcode

在 PDF、Office 文檔中分析惡意 JS 和 Shellcode，也可參考browser malware 部分

• AnalyzePDF - 分析 PDF 并嘗試判斷其是否是惡意文件的工具
• box-js - 用于研究 JavaScript 惡意軟件的工具，支持 JScript/WScript 和 ActiveX 仿真功能
• diStorm - 分析惡意 Shellcode 的反匯編器
• JS Beautifier - JavaScript 脫殼和去混淆
• JS Deobfuscator - 對那些使用 eval 或 document.write 的簡單 Javascript 去混淆
• libemu - x86 shellcode 仿真的庫和工具
• malpdfobj - 解構惡意 PDF 為 JSON 表示
• OfficeMalScanner - 掃描 MS Office 文檔中的惡意跟蹤
• olevba - 解析 OLE 和 OpenXML 文檔，并提取有用信息的腳本
• Origami PDF - 一個分析惡意 PDF 的工具
• PDF Tools - Didier Stevens 開發的許多關于 PDF 的工具
• PDF X-Ray Lite - PDF 分析工具，PDF X-RAY 的無后端版本
• peepdf - 用來探索可能是惡意的 PDF 的 Python 工具
• QuickSand - QuickSand 是一個緊湊的 C 框架，用于分析可疑的惡意軟件文檔，以識別不同編碼流中的漏洞，并定位和提取嵌入的可執行文件
• Spidermonkey - Mozilla 的 JavaScript 引擎，用來調試可疑 JS 代碼

文件提取

從硬盤和內存鏡像中提取文件

• bulk_extractor - 快速文件提取工具
• EVTXtract - 從原始二進制數據提取 Windows 事件日志文件
• Foremost - 由 US Air Force 設計的文件提取工具
• Hachoir - 處理二進制程序的 Python 庫的集合
• Scalpel - 另一個數據提取工具

去混淆

破解異或或其它代碼混淆方法

• Balbuzard - 去除混淆(XOR、ROL等)的惡意軟件分析工具
• de4dot - .NET 去混淆與脫殼
• ex_pe_xor 和 iheartxor - Alexander Hanel 開發的用于去除單字節異或編碼的文件的兩個工具
• FLOSS - FireEye 實驗室的混淆字符串求解工具，使用高級靜態分析技術來自動去除惡意軟件二進制文件中的字符串
• NoMoreXOR - 通過頻率分析來猜測一個 256 字節的異或密鑰
• PackerAttacker - Windows 惡意軟件的通用隱藏代碼提取程序
• unpacker - 基于 WinAppDbg 的自動 Windows 惡意軟件脫殼器
• unxor - 通過已知明文攻擊來猜測一個異或密鑰
• VirtualDeobfuscator - 虛擬逆向分析工具
• XORBruteForcer - 爆破單字節異或密鑰的 Python 腳本
• XORSearch 和 XORStrings - Didier Stevens 開發的用于尋找異或混淆后數據的兩個工具
• xortool - 猜測異或密鑰和密鑰的長度

調試和逆向工程

反編譯器、調試器和其他靜態、動態分析工具

• angr - UCSB 的安全實驗室開發的跨平臺二進制分析框架
• bamfdetect - 識別和提取奇跡人和其他惡意軟件的信息
• BAP - CMU 的安全實驗室開發的跨平臺開源二進制分析框架
• BARF - 跨平臺、開源二進制分析逆向框架
• binnavi - 基于圖形可視化的二進制分析 IDE
• Binwalk - 固件分析工具
• Bokken - Pyew 和 Radare 的界面版
• Capstone - 二進制分析反匯編框架，支持多種架構和許多語言
• codebro - 使用 clang 提供基礎代碼分析的 Web 端代碼瀏覽器
• dnSpy - .NET 編輯器、編譯器、調試器
• - Qt GUI 程序的模塊化調試器
• Fibratus - 探索、跟蹤 Windows 內核的工具
• FPort - 實時查看系統中打開的 TCP/IP 和 UDP 端口，并映射到應用程序
• GDB - GNU 調試器
• GEF - 針對開發人員和逆向工程師的 GDB 增強版
• hackers-grep - 用來搜索 PE 程序中的導入表、導出表、字符串、調試符號
• IDA Pro - Windows 反匯編和調試器，有免費評估版
• Immunity Debugger - 帶有 Python API 的惡意軟件調試器
• ltrace - Linux 可執行文件的動態分析
• objdump - GNU 工具集的一部分，面向 Linux 二進制程序的靜態分析
• OllyDbg - Windows 可執行程序匯編級調試器
• PANDA - 動態分析平臺
• PEDA - 基于 GDB 的 Pythton Exploit 開發輔助工具，增強顯示及增強的命令
• pestudio - Windows 可執行程序的靜態分析
• plasma - 面向 x86/ARM/MIPS 的交互式反匯編器
• PPEE (puppy) - 專業的 PE 文件資源管理器
• Process Explorer - 高級 Windows 任務管理器
• Process Monitor - Windows 下高級程序監控工具
• PSTools - 可以幫助管理員實時管理系統的 Windows 命令行工具
• Pyew - 惡意軟件分析的 Python 工具
• Radare2 - 帶有調試器支持的逆向工程框架
• RetDec - 可重定向的機器碼反編譯器，同時有在線反編譯服務和 API
• ROPMEMU - 分析、解析、反編譯復雜的代碼重用攻擊的框架
• SMRT - Sublime 3 中輔助惡意軟件分析的插件
• strace - Linux 可執行文件的動態分析
• Triton - 一個動態二進制分析框架
• Udis86 - x86 和 x86_64 的反匯編庫和工具
• Vivisect - 惡意軟件分析的 Python 工具
• X64dbg - Windows 的一個開源 x64/x32 調試器

網絡

分析網絡交互

• Bro - 支持驚人規模的文件和網絡協議的協議分析工具
• BroYara - 基于 Bro 的 Yara 規則集
• CapTipper - 惡意 HTTP 流量管理器
• chopshop - 協議分析和解碼框架
• Fiddler - 專為 Web 調試開發的 Web 代理
• Hale - 僵尸網絡 C&C 監視器
• Haka - 一個安全導向的開源語言，用于在實時流量捕獲時描述協議、應用安全策略
• INetSim - 網絡服務模擬。建設一個惡意軟件分析實驗室十分有用
• Laika BOSS - Laika BOSS 是一種以文件為中心的惡意軟件分析和入侵檢測系統
• Malcom - 惡意軟件通信分析儀
• Maltrail - 一個惡意流量檢測系統，利用公開的黑名單來檢測惡意和可疑的通信流量，帶有一個報告和分析界面
• mitmproxy - 攔截網絡流量通信
• Moloch - IPv4 流量捕獲，帶有索引和數據庫系統
• NetworkMiner - 有免費版本的網絡取證分析工具
• ngrep - 像 grep 一樣收集網絡流量
• PcapViz - 網絡拓撲與流量可視化
• Tcpdump - 收集網絡流
• tcpick - 從網絡流量中重構 TCP 流
• tcpxtract - 從網絡流量中提取文件
• Wireshark - 網絡流量分析工具

內存取證

在內存映像或正在運行的系統中分析惡意軟件的工具

• BlackLight - 支持 hiberfil、pagefile 與原始內存分析的 Windows / MacOS 取證客戶端
• DAMM - 基于 Volatility 的內存中惡意軟件的差異分析
• evolve - 用于 Volatility Memory 取證框架的 Web 界面
• FindAES - 在內存中尋找 AES 加密密鑰
• Muninn - 一個使用 Volatility 的自動化分析腳本，可以生成一份可讀報告
• Rekall - 內存分析框架，2013 年 Volatility 的分支版本
• TotalRecall - 基于 Volatility 自動執行多惡意樣本分析任務的腳本
• VolDiff - 在惡意軟件執行前后，在內存映像中運行 Volatility 并生成對比報告
• Volatility - 先進的內存取證框架
• VolUtility - Volatility 內存分析框架的 Web 接口
• WinDbg - Windows 系統的實時內存檢查和內核調試工具

Windows 神器

• AChoir - 一個用來收集 Windows 實時事件響應腳本集
• python-evt - 用來解析 Windows 事件日志的 Python 庫
• python-registry - 用于解析注冊表文件的 Python 庫
• RegRipper (GitHub) - 基于插件集的工具

存儲和工作流

• Aleph - 開源惡意軟件分析管道系統
• CRITs - 關于威脅、惡意軟件的合作研究
• Malwarehouse - 存儲、標注與搜索惡意軟件
• Polichombr - 一個惡意軟件分析平臺，旨在幫助分析師逆向惡意軟件。
• stoQ - 分布式內容分析框架，具有廣泛的插件支持
• Viper - 分析人員的二進制管理和分析框架

雜項

• al-khaser - 一個旨在突出反惡意軟件系統的 PoC 惡意軟件
• Binarly - 海量惡意軟件字節的搜索引擎
• DC3-MWCP - 反網絡犯罪中心的惡意軟件配置解析框架
• MalSploitBase - 包含惡意軟件利用的漏洞的數據庫
• Malware Museum - 收集 20 世紀八九十年代流行的惡意軟件
• Pafish - Paranoid Fish，與惡意軟件家族的行為一致，采用多種技術來檢測沙盒和分析環境的演示工具
• REMnux - 面向惡意軟件逆向工程師和分析人員的 Linux 發行版和 Docker 鏡像
• Santoku Linux - 移動取證的 Linux 發行版

資源

書籍

基礎惡意軟件分析閱讀書單

• Malware Analyst's Cookbook and DVD - 打擊惡意代碼的工具和技術
• Practical Malware Analysis - 剖析惡意軟件的手邊書
• Real Digital Forensics - 計算機安全與應急響應
• The Art of Memory Forensics - 在 Windows、Linux 和 Mac 系統的內存中檢測惡意軟件和威脅
• The IDA Pro Book - 世界上最流行的反匯編器的非官方指南
• Real Digital Forensics - 用于移動取證、惡意軟件分析的 Linux 發行版

Twitter

一些相關的 Twitter 賬戶

• Adamb @Hexacorn
• Andrew Case @attrc
• Binni Shah @binitamshah
• Claudio @botherder
• Dustin Webber @mephux
• Glenn @hiddenillusion
• jekil @jekil
• Jurriaan Bremer @skier_t
• Lenny Zeltser @lennyzeltser
• Liam Randall @hectaman
• Mark Schloesser @repmovsb
• Michael Ligh (MHL) @iMHLv2
• Monnappa @monnappa22
• Open Malware @OpenMalware
• Richard Bejtlich @taosecurity
• Volatility @volatility

其它

• APT Notes - 一個收集 APT 相關文獻的合輯
• File Formats posters - 常用文件格式的可視化（包括 PE 與 ELF）
• Honeynet Project - 蜜罐工具、論文和其他資源
• Kernel Mode - 一個致力于惡意軟件分析和內核開發的活躍社區
• Malicious Software - Lenny Zeltser 的惡意軟件博客和資源
• Malware Analysis Search - Corey Harrell 自定義的用于惡意軟件分析的 Google 搜索
• Malware Analysis Tutorials - 由 Xiang Fu 博士提供的惡意軟件分析教程，是一個學習惡意軟件分析的重要資源
• Malware Samples and Traffic - 此博客重點介紹與惡意軟件感染相關的網絡流量
• Practical Malware Analysis Starter Kit - 此軟件包包含 Practical Malware Analysis 書中引用的大多數軟件
• WindowsIR: Malware - Harlan Carvey 的惡意軟件頁面
• /r/csirt_tools - CSIRT 工具和資源的子版塊，講惡意軟件分析的天才
• /r/Malware - 惡意軟件的子版塊
• /r/ReverseEngineering - 逆向工程子版塊，不僅限于惡意軟件

相關 Awesome 清單

• Android Security
• AppSec
• CTFs
• Forensics
• Honeypots
• Industrial Control System Security
• Incident-Response
• Infosec
• PCAP Tools
• Pentesting
• Security
• Threat Intelligence

貢獻

歡迎提出問題或者 Pull requests！請在提交 Pull request 之前閱讀 CONTRIBUTING。

致謝

這個列表需要感謝如下一些人:

• Lenny Zeltser 和 REMnux 的其他開發者貢獻了這個列表中很多工具
• Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 著有 Malware Analyst's Cookbook，這本書為這個列表的創建提供了很大的靈感
• 每一個提交 Pull request 以及提出建議的人

十分感謝!

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/421/