الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

تحليل البرامج الضارة رهيبة

قائمة منسقة من أدوات وموارد تحليل البرامج الضارة الرائعة. مستوحاة من رهيبة الايثون و php رهيبة.

إسقاط الجليد

  • مجموعة البرامج الضارة
    • مجهول الهوية
    • هونيفوت
    • البرامج الضارة Corpora
  • ذكاء التهديد مفتوح المصدر
    • أدوات
    • موارد أخرى
  • الكشف والتصنيف
  • الماسحات الضوئية عبر الإنترنت وصناديق الرمل
  • تحليل المجال
  • برامج المتصفح الخبيثة
  • الوثائق و shellcode
  • ملف نحت
  • deobfuscation
  • تصحيح الأخطاء والهندسة العكسية
  • شبكة
  • الطب الشرعي الذاكرة
  • القطع الأثرية Windows
  • التخزين وسير العمل
  • متنوع
  • موارد
    • كتب
    • آخر
  • قوائم رهيبة ذات صلة
  • المساهمة
  • شكرًا

عرض الترجمة الصينية: 恶意软件分析大合集 ​​.md.

مجموعة البرامج الضارة

مجهول الهوية

مرور الويب مجهول الهوية للمحللين.

  • anonymouse.org - مجاني ، على شبكة الإنترنت مجهول.
  • OpenVPN - برنامج VPN وحلول الاستضافة.
  • Privoxy - خادم وكيل مفتوح المصدر مع بعض ميزات الخصوصية.
  • Tor - جهاز التوجيه البصل ، لتصفح الويب دون ترك آثار IP العميل.

هونيفوت

فخ وجمع العينات الخاصة بك.

  • Conpot - ICS/SCADA Honeypot.
  • Cowrie - SSH Honeypot ، على أساس Kippo.
  • Demohunter - انخفاض التفاعل موزع العسل.
  • Dionaea - مصممة مصممة لفخ البرامج الضارة.
  • GLASTOPF - Web Application Honeypot.
  • Honeyd - قم بإنشاء نينيت افتراضي.
  • HoneyDrive - Honeypot Bundle Linux Distro.
  • Honeytrap - نظام OpenSource لتشغيل ومراقبة وإدارة هونيفوت.
  • MHN - MHN هو خادم مركزي للإدارة وجمع البيانات من مصهرات العسل. يتيح لك MHN نشر أجهزة استشعار بسرعة وجمع البيانات على الفور ، يمكن عرضها من واجهة ويب أنيقة.
  • Mnemosyne - A Malmalizer لبيانات Honeypot ؛ يدعم Dionaea.
  • Thug - تفاعل منخفض العسل ، للتحقيق في مواقع الويب الضارة.

البرامج الضارة Corpora

عينات البرامج الضارة التي تم جمعها للتحليل.

  • Clean MX - قاعدة بيانات الوقت الفعلي للبرامج الضارة والمجالات الخبيثة.
  • Contagio - مجموعة من عينات البرامج الضارة الحديثة والتحليلات.
  • استغلال قاعدة البيانات - عينات استغلال و shellcode.
  • InfoSec - Cert -PA - جمع عينات البرامج الضارة وتحليلها.
  • مختبرات التحقيق - مجموعة قابلة للبحث عن مستندات Microsoft الخبيثة.
  • مجموعة JavaScript Mallware - مجموعة من حوالي 40.000 عينات من البرامج الضارة JavaScript
  • MALPEDIA - مورد يوفر تحديد هوية وسياق قابل للتنفيذ للتحقيقات الخبيثة.
  • Malshare - مستودع كبير من البرامج الضارة التي ألغى بنشاط من المواقع الضارة.
  • Ragpicker - زاحف البرامج الضارة القائمة على البرنامج المساعد مع وظائف ما قبل التحليل والإبلاغ
  • TheZoo - عينات من البرامج الضارة الحية للمحللين.
  • Tracker H3X - Agregator لصالح Tracker Corpus Malware ومواقع التنزيل الخبيثة.
  • Vduddu Malware Repo - مجموعة من ملفات البرامج الضارة المختلفة ورمز المصدر.
  • VirusBay - مستودع البرامج الضارة المجتمعية والشبكة الاجتماعية.
  • Virusign - قاعدة بيانات البرامج الضارة التي اكتشفتها العديد من برامج مكافحة البرامج الضارة باستثناء Clamav.
  • VirusShare - مستودع البرامج الضارة ، التسجيل المطلوب.
  • VX Vault - مجموعة نشطة من عينات البرامج الضارة.
  • مصادر Zeltser - قائمة بمصادر نماذج البرامج الضارة التي وضعها ليني زيلتسر.
  • رمز مصدر زيوس - مصدر تسرب Zeus Trojan في عام 2011.
  • VX Underground - مجموعة ضخمة ومتنامية من عينات البرامج الضارة المجانية.

ذكاء التهديد مفتوح المصدر

أدوات

حصاد وتحليل IOCS.

  • easureshelper - إطار عمل مفتوح المصدر لتلقي وإعادة توزيع خلاصات الإساءة والتهديد Intel.
  • Exchange Exchange Open That Exchange - مشاركة والتعاون في تطوير استخبارات التهديد.
  • الجمع - أداة لجمع مؤشرات استخبارات التهديد من المصادر المتاحة للجمهور.
  • FileIntel - سحب الذكاء لكل ملف تجزئة.
  • HostIntel - سحب الذكاء لكل مضيف.
  • Intelmq - أداة لتصدرات لمعالجة بيانات الحوادث باستخدام قائمة انتظار الرسائل.
  • IOC Editor - محرر مجاني لملفات XML IOC.
  • Iocextract - مؤشر متقدم للحل الوسط (IOC) مستخرج ومكتبة Python وأداة سطر الأوامر.
  • IOC_WRITER - مكتبة Python للعمل مع OpenIOC كائنات ، من Mandiant.
  • MALPIPE - برامج ضارة/IOC Engestion and Processing Engine ، الذي يثري البيانات التي تم جمعها.
  • توابل OCTO الضخمة - المعروفة سابقًا باسم CIF (إطار الذكاء الجماعي). يجمع IOCs من قوائم مختلفة. برعاية مؤسسة CSIRT Gadgets.
  • MISP - منصة مشاركة معلومات البرامج الضارة برعاية مشروع MISP.
  • نبضات-منصة استخبارات التهديد المجانية التي تعتمد على المجتمع تجمع IOCs من الخلاصات مفتوحة المصدر.
  • Pyioce - محرر Python Openioc.
  • Riskiq - البحث ، توصيل ، علامة ومشاركة IPS والمجالات. (كان passivetotal.)
  • ThreatagGregator - يجمع التهديدات الأمنية من عدد من المصادر ، بما في ذلك بعض تلك المذكورة أدناه في الموارد الأخرى.
  • ThreatConnect - تتيح لك TC Open رؤية بيانات التهديد المفتوحة المصدر ومشاركتها ، مع الدعم والتحقق من صحة مجتمعنا المجاني.
  • التهديد - محرك بحث للتهديدات ، مع التصور الرسومي.
  • تهديدات - قم ببناء خطوط أنابيب Intel تهديد تلقائي من Twitter و RSS و Github والمزيد.
  • ThreatTracker - برنامج نصي Python لمراقبة وإنشاء تنبيهات بناءً على IOCs المفهرسة بواسطة مجموعة من محركات البحث المخصصة لـ Google.
  • TIQ -Test - تصور البيانات والتحليل الإحصائي لأغذية ذكاء التهديد.

موارد أخرى

التهديد الذكاء وموارد اللجنة الأولمبية الدولية.

  • Autoshun (قائمة) - Snort Plugin و Blocklist.
  • Bambenek Consulting Feeds - Osint تغذية على أساس خوارزميات DGA الضارة.
  • FIDELIS BARNCAT - قاعدة بيانات تكوين الخبيثة الواسعة (يجب أن تطلب الوصول).
  • CI Army (LIST) - قوائم الأمن الشبكي.
  • Critical Stack- Market Free Intel - مجمع Intel المجاني مع إلغاء البيانات المكررة التي تتميز بتغذية 90+ وأكثر من 1.2 مليون مؤشر.
  • تتبع الجريمة الإلكترونية - متعددة Botnet Active Tracker.
  • Fireeye IOCS - مؤشرات التسوية التي تشاركها علنا ​​من قبل FireEye.
  • قوائم Firehol IP - تحليلات لـ 350+ قائمة IP مع التركيز على الهجمات والبرامج الضارة وإساءة الاستخدام. التطور ، التاريخ ، التاريخ ، خرائط البلد ، عمر IPS المدرجة ، سياسة الاحتفاظ ، التداخل.
  • HoneyDB - جمع بيانات مستشعرات Honeypot مدفوعة المجتمع وتجميعها.
  • HPFEEDS - بروتوكول تغذية Honeypot.
  • INFOSEC - قوائم CERT -PA (IPS - المجالات - عناوين URL) - خدمة القائمة القائمة.
  • التحقيق repdb - التجميع المستمر من IOCs من مجموعة متنوعة من مصادر السمعة المفتوحة.
  • التحقيق IOCDB - تجميع مستمر من IOCs من مجموعة متنوعة من المدونات ، github repos ، و Twitter.
  • مركز العاصفة عبر الإنترنت (DSHIELD) - قاعدة بيانات مذكرات وقابلة للبحث ، مع واجهة برمجة تطبيقات الويب. (مكتبة بيثون غير رسمية).
  • MALC0DE - قاعدة بيانات الحوادث القابلة للبحث.
  • قائمة مجال البرامج الضارة - البحث ومشاركة عناوين URL الضارة.
  • Metadefender Threat Intelligence Feed - قائمة تجزئة الملفات الأكثر بحثًا من MetadeFender Cloud.
  • OpenIOC - إطار لتبادل ذكاء التهديد.
  • Proofpoint تهديد الذكاء - قواعد مجموعات وأكثر من ذلك. (التهديدات الناشئة سابقا.)
  • نظرة عامة على Ransomware - قائمة بنظرة عامة على Ransomware مع التفاصيل والاكتشاف والوقاية.
  • Stix - تعبير معلومات التهديد المنظم - لغة موحدة لتمثيل ومشاركة معلومات التهديد السيبراني. الجهود ذات الصلة من ميتري:
    • CAPEC - تعداد نمط الهجوم الشائع وتصنيفه
    • cybox - التعبير عبر الإنترنت عبر الإنترنت
    • MAEC - تعداد سمة البرامج الضارة والتوصيف
    • تاكسي - التبادل الآلي الموثوق بمعلومات المؤشر
  • SystemLookup - يستضيف SystemLookup مجموعة من القوائم التي توفر معلومات عن مكونات البرامج المشروعة وغير المرغوب فيها.
  • التهديد - بوابة تعدين البيانات لذكاء التهديد ، مع البحث.
  • TREATRECON - ابحث عن المؤشرات ، ما يصل إلى 1000 مجاني شهريًا.
  • التهديد - تعقب لوحة C2
  • قواعد يارا - مستودع قواعد يارا.
  • Yeti - Yeti هي منصة تهدف إلى تنظيم الملاحظات ، ومؤشرات التسوية ، و TTPs ، والمعرفة على التهديدات في مستودع واحد موحد.
  • Zeus Tracker - Zeus blocklists.

الكشف والتصنيف

مكافحة الفيروسات وأدوات تعريف البرامج الضارة الأخرى

  • Analyzepe - Wrapper لمجموعة متنوعة من الأدوات للإبلاغ عن ملفات Windows PE.
  • AssemblyLine - نظام تحليل الملفات القابل للتطوير والبرامج الضارة يدمج أفضل أدوات مجتمع الأمن السيبراني ..
  • BinaryAlert - خط أنابيب مفتوح المصدر ، بدون خادم AWS يقوم بمسح وتنبيهات على الملفات المحملة بناءً على مجموعة من قواعد YARA.
  • CAPA - يكتشف القدرات في الملفات القابلة للتنفيذ.
  • chkrootkit - اكتشاف ROOTKIT Linux المحلي.
  • Clamav - محرك مكافحة الفيروسات مفتوح المصدر.
  • اكتشفه سهلاً (يموت) - برنامج لتحديد أنواع الملفات.
  • exeinfo pe - Packer ، Descressor Detector ، unpack info ، أدوات exe الداخلية.
  • exiftool - قراءة ، كتابة وتحرير البيانات الوصفية.
  • إطار مسح الملفات - حل وحدات مسح الملفات المتكررة.
  • FN2YARA - FN2YARA هي أداة لإنشاء توقيعات YARA للوظائف المطابقة (الكود) في برنامج قابل للتنفيذ.
  • محلل الملف العام - محلل مكتبة واحد لاستخراج معلومات التعريف والتحليل الثابت واكتشاف وحدات الماكرو داخل الملفات.
  • Hashdeep - حساب تجزئة Digest مع مجموعة متنوعة من الخوارزميات.
  • Hashcheck - امتداد Windows Shell لحساب التجزئة مع مجموعة متنوعة من الخوارزميات.
  • Loki - الماسح الضوئي القائم على المضيف ل IOCS.
  • عطل - كتالوج ومقارنة البرامج الضارة على مستوى الوظيفة.
  • Manalyze - محلل ثابت للمخططات التنفيذية PE.
  • Mastiff - إطار تحليل ثابت.
  • multiscanner - إطار فحص الملفات/التحليل المعياري
  • كاشف ملفات Nauz (NFD) - كاشف الرابط/التحويل البرمجي/الأدوات لنظام التشغيل Windows و Linux و MacOS.
  • NSRLLOOKUP - أداة للبحث عن تجزئة في قاعدة بيانات المكتبة المرجعية للبرامج الوطنية في NIST.
  • Packerid - بديل python منصة منظمة.
  • PE -Bear - أداة عكس ملفات PE.
  • PEFRAME - PEFRAME هي أداة مفتوحة المصدر لإجراء تحليل ثابت على البرامج الضارة القابلة للتنفيذ المحمولة ووثائق MS Office الخبيثة.
  • PEV - مجموعة أدوات متعددة الأشكال للعمل مع ملفات PE ، مما يوفر أدوات غنية بالميزات للتحليل السليم للثنائيات المشبوهة.
  • PORTEX - مكتبة Java لتحليل ملفات PE مع التركيز بشكل خاص على تحليل البرامج الضارة وجهاز تشوه PE.
  • Quark-Legine-نظام تسجيل البرامج الضارة Android النابض بنظام Android
  • ROOTKIT HUNTER - اكتشاف Linux ROOTKITS.
  • SSDEEP - حساب تجزئة غامضة.
  • TotalHash.py - Python Script لسهولة البحث في قاعدة بيانات TotalHash.cymru.com.
  • TRID - معرف الملف.
  • يارا - أداة مطابقة الأنماط للمحللين.
  • مولد قواعد YARA - قم بإنشاء قواعد YARA بناءً على مجموعة من عينات البرامج الضارة. يحتوي أيضًا على سلاسل جيدة DB لتجنب الإيجابيات الخاطئة.
  • Yara Finder - أداة بسيطة لـ Yara تطابق الملف ضد قواعد Yara المختلفة للعثور على مؤشرات الشك.

الماسحات الضوئية عبر الإنترنت وصناديق الرمل

الماسحات الضوئية المتعددة AV المستندة إلى الويب ، وصناديق رملية للبرامج الضارة للتحليل الآلي.

  • anlyz.io - صندوق الرمل على الإنترنت.
  • any.run - صندوق الرمل التفاعلي عبر الإنترنت.
  • Andrototal - تحليل مجاني عبر الإنترنت لمؤسسات APK ضد تطبيقات مضادات الفيروسات المتعددة عبر الهاتف المحمول.
  • Boombox - النشر التلقائي لمختبر برامج البرامج الضارة Cuckoo Sandbox باستخدام Packer و Vagrant.
  • Cryptam - تحليل وثائق المكتب المشبوهة.
  • Cuckoo Sandbox - Open Source ، صندوق رمل مستضيف ذاتيًا ونظام التحليل الآلي.
  • إصدار Cuckoo المعدل - المعدل من صندوق Cuckoo Sandbox الذي تم إصداره تحت GPL. لم يتم دمجها في اتجاه المنبع بسبب المخاوف القانونية للمؤلف.
  • Cuckoo-API-API-API Python يستخدم للتحكم في صندوق رملي معدل Cuckoo.
  • Deepviz-محلل ملفات متعددة التنسيق مع تصنيف تعلم الماكينة.
  • DINCOX - صندوق رمل تم تطويره لإجراء تحليل حركة المرور لمضايقات Linux والتقاط IOCs.
  • Drakvuf - نظام تحليل البرامج الضارة الديناميكية.
  • Filescan.io - تحليل البرامج الضارة الثابتة ، مضاهاة VBA/PowerShell/VBS/JS
  • البرامج الثابتة.
  • Habomalhunter - أداة تحليل البرامج الضارة الآلية لملفات Linux ELF.
  • التحليل الهجين - أداة تحليل البرامج الضارة عبر الإنترنت ، مدعوم من VXSANDBOX.
  • intezer - اكتشاف وتحليل وتصنيف البرامج الضارة عن طريق تحديد إعادة استخدام الكود وأوجه التشابه في التعليمات البرمجية.
  • IRMA - منصة تحليل غير متزامنة وقابلة للتخصيص للملفات المشبوهة.
  • Joe Sandbox - تحليل البرامج الضارة العميقة مع Joe Sandbox.
  • JOTTI - ماسح ضوئي مجاني عبر الإنترنت متعدد AV.
  • ليمون - صندوق الرمل لتحليل البرامج الضارة Linux.
  • MALHEUR - تحليل رمل تلقائي لسلوك البرامج الضارة.
  • Malice.io - إطار تحليل البرامج الضارة القابلة للتطوير على نطاق واسع.
  • MALSUB - إطار Python RESTFLE API لخدمات تحليل البرامج الضارة وعنوان URL عبر الإنترنت.
  • تكوين البرامج الضارة - استخراج ، فك تشفير وعرض إعدادات التكوين عبر الإنترنت من malwares الشائعة.
  • malwareanalyser.io - محلل ثابت على الإنترنت من البرامج الضارة على الإنترنت مع محرك الكشف عن الاستدلال مدعوم من تعدين البيانات والتعلم الآلي.
  • MALWR - تحليل مجاني مع مثيل صندوق الصداقة على الإنترنت.
  • Metadefender Cloud - مسح ملف أو تجزئة أو عنوان IP أو عنوان URL أو مجال المجال للبرامج الضارة مجانًا.
  • NetworkTotal - خدمة تحلل ملفات PCAP وتسهل الكشف السريع عن الفيروسات والديدان وأحصنة طروادة وجميع أنواع البرامج الضارة باستخدام SURICATA التي تم تكوينها باستخدام PRO PRO.
  • Noriben - يستخدم Sysinternals Procmon لجمع معلومات حول البرامج الضارة في بيئة رمل.
  • PacketTotal - PacketTotal هو محرك عبر الإنترنت لتحليل ملفات .pcap ، وتصور حركة مرور الشبكة في الداخل.
  • PDF Examiner - تحليل ملفات PDF المشبوهة.
  • Procdot - مجموعة أدوات تحليل البرامج الضارة الرسومية.
  • Recomposer - البرنامج النصي المساعد لتحميل الثنائيات بأمان إلى مواقع صندوق الرمل.
  • Sandboxapi - مكتبة Python لبناء عمليات تكامل مع العديد من صناديق الرمل المصدر والبرامج الضارة التجارية.
  • انظر - بيئة التنفيذ الرملية (SEE) هي إطار لبناء أتمتة الاختبار في البيئات المضمونة.
  • تحليل قطار Sekoia - تحليل قطار عبر الإنترنت (JS ، VBScript ، Microsoft Office ، PDF).
  • Virustotal - تحليل مجاني عبر الإنترنت لعينات البرامج الضارة وعنوان URL
  • Visualize_logs - مكتبة التصور المفتوح المصدر وأدوات سطر الأوامر للسجلات. (Cuckoo ، Procmon ، المزيد في المستقبل ...)
  • قائمة Zeltser - صناديق الرمل والخدمات الآلية المجانية ، التي جمعتها Lenny Zeltser.

تحليل المجال

فحص المجالات وعناوين IP.

  • easureipdb - easureipdb هو مشروع مخصص للمساعدة في مكافحة انتشار المتسللين ، ومرسلي البريد العشوائي ، والنشاط المسيء على الإنترنت.
  • badips.com - خدمة القائمة السوداء IP القائمة على المجتمع.
  • Boomerang - أداة مصممة لالتقاط ثابت وآمن لموارد الويب الخاصة بالشبكة.
  • Cymon - Tracker التهديد الذكاء ، مع البحث عن IP/المجال/التجزئة.
  • Desenmascara.me - أداة نقرة واحدة لاسترداد أكبر قدر ممكن من البيانات الوصفية لموقع ويب وتقييم مكانته الجيدة.
  • DIG - حفر الحفر عبر الإنترنت وأدوات الشبكة الأخرى.
  • DNSTWIST - محرك تقليب اسم المجال للكشف عن القرفصاء المطبعي والتصيد والتجسس للشركات.
  • IPINFO - جمع معلومات حول IP أو مجال من خلال البحث عن الموارد عبر الإنترنت.
  • Machinae - أداة Osint لجمع المعلومات حول عناوين URL أو IPS أو التجزئة. على غرار Automator.
  • MailChecker - مكتبة الكشف عبر البريد الإلكتروني المؤقتة عبر اللغة.
  • Maltegovt - Maltego Transform for virustotal API. يسمح بحث المجال/IP ، والبحث عن تجزئة الملفات وتقارير المسح.
  • Multi RBL - قائمة أسود DNS المتعددة وإلى الأمام المؤكد على البحث العكسي على أكثر من 300 RBLs.
  • خدمات Normshield - خدمات واجهة برمجة التطبيقات المجانية للكشف عن مجالات التصيد المحتملة وعناوين IP المدرجة في القائمة السوداء والحسابات المخترقة.
  • Phishstats - إحصاءات التصيد مع البحث عن IP ، مجال وعنوان موقع الويب
  • Spyse - نطاقات فرعية ، Whois ، المجالات المحفوظة ، DNS ، تستضيف معلومات SSL/TLS ،
  • SecurityTrails - Whois التاريخية والحالية ، سجلات DNS التاريخية والحالية ، المجالات المماثلة ، معلومات الشهادة وغيرها من أدوات API والأدوات ذات الصلة بالمجال.
  • SPAMCOP - قائمة كتلة البريد العشوائي القائمة على IP.
  • SPAMHAUS - قائمة كتلة بناء على المجالات و IPS.
  • Sucuri SiteCheck - موقع مجاني للبرامج الضارة والماسح الضوئي للأمان.
  • Talos Intelligence - ابحث عن IP أو المجال أو مالك الشبكة. (سابقا senderbase.)
  • TekDefense Automater - Osint Tool لجمع المعلومات حول عناوين URL أو IPS أو التجزئة.
  • URLHAUS - مشروع من إساءة الاستخدام. مع هدف مشاركة عناوين URL الضارة التي يتم استخدامها لتوزيع البرامج الضارة.
  • URLQUERY - ماسحة URL المجانية.
  • urlscan.io - ماسحة URL المجانية ومعلومات المجال.
  • Whois - Domaintools مجاني عبر الإنترنت البحث.
  • قائمة Zeltser - أدوات مجانية عبر الإنترنت للبحث عن مواقع الويب الضارة ، التي جمعتها Lenny Zeltser.
  • Zscalar Zulu - محلل مخاطر URL Zulu.

برامج المتصفح الخبيثة

تحليل عناوين URL الضارة. انظر أيضًا تحليل المجال والمستندات وأقسام الرمز القشط.

  • Bytecode Viewer - يجمع بين العديد من مشاهدي Java Bytecode و Decompilers في أداة واحدة ، بما في ذلك دعم APK/DEX.
  • Firebug - تمديد Firefox لتطوير الويب.
  • Java Decompiler - Delsompile وتفقد تطبيقات Java.
  • Java IDX Parser - Parses Java IDX Cache Files.
  • JSDETOX - أداة تحليل البرامج الضارة JavaScript.
  • JSunpack -N - javaScript Unpacker الذي يحاكي وظائف المتصفح.
  • Krakatau - Java Decompiler ، Assembler ، و Disassembler.
  • Malzilla - تحليل صفحات الويب الخبيثة.
  • Rabcdasm - "Actionscript Bytecode القوي Disassembler."
  • محقق SWF - تحليل ثابت وديناميكي لتطبيقات SWF.
  • Swftools - أدوات للعمل مع ملفات Adobe Flash.
  • XXXSWF - برنامج نصي Python لتحليل ملفات الفلاش.

الوثائق و shellcode

تحليل JS الضار و shellcode من PDFs ووثائق المكتب. انظر أيضًا قسم البرامج الضارة للمتصفح.

  • AnalyzePDF - أداة لتحليل PDF ومحاولة تحديد ما إذا كانت ضارة.
  • Box -JS - أداة لدراسة البرامج الضارة JavaScript ، والتي تتميز بدعم JScript/WScript ومضاهاة ActiveX.
  • dithorm - disassembler لتحليل رمز الصدفة الخبيثة.
  • التفتيش العميق لفحص الملفات العميقة - قم بتحميل إغراء البرامج الضارة الشائعة لفحص الملفات العميق والتحليل الإرشادي.
  • JS Beautifier - JavaScript تفريغ و deobfuscation.
  • Libemu - مكتبة وأدوات لمضاهاة shellcode shellcode x86.
  • MALPDFOBJ - تفكيك PDF الخبيثة في تمثيل JSON.
  • OfficeMalsCanner - مسح للآثار الخبيثة في مستندات MS Office.
  • Olevba - برنامج نصي لتحليل مستندات OLE و OpenXML واستخراج معلومات مفيدة.
  • اوريغامي PDF - أداة لتحليل PDFs الضارة ، وأكثر من ذلك.
  • أدوات PDF - PDFID ، PDF -Parser ، وأكثر من Didier Stevens.
  • PDF X-Ray Lite-أداة تحليل PDF ، النسخة الخالية من الواجهة الخلفية من PDF X-Ray.
  • PEEPDF - أداة Python لاستكشاف PDF الخبيثة.
  • Quicksand - Quicksand هو إطار عمل مضغوط لتحليل مستندات البرامج الضارة المشتبه بها لتحديد مآثر في تدفقات الترميزات المختلفة وتحديد واستخراج التنفيذيين المدمجين.
  • Spidermonkey - Mozilla's JavaScript Engine ، لتصحيح أخطاء JS الخبيثة.

ملف نحت

لاستخراج الملفات من داخل القرص وصور الذاكرة.

  • bulk_extractor - أداة نحت الملف السريع.
  • EVTXTREL - نحت ملفات سجل أحداث Windows من البيانات الثنائية الخام.
  • قبل كل شيء - أداة نحت الملفات التي صممها سلاح الجو الأمريكي.
  • Hachoir3 - Hachoir هي مكتبة Python لعرض وتحرير حقل دفق ثنائي حسب الحقل.
  • Scalpel - أداة نحت بيانات أخرى.
  • SFLOCK - استخراج الأرشيف المتداخل/تفريغ (يستخدم في صندوق رمل الوقواق).

deobfuscation

عكسي XOR وطرق التغلب على الكود الأخرى.

  • BALBUZARD - أداة تحليل البرامج الضارة لعكس التغوط (XOR ، ROL ، إلخ) وأكثر من ذلك.
  • de4dot - .net deobfuscator و unpacker.
  • ex_pe_xor & iheartxor - هناك أداة من ألكساندر هانيل للعمل مع ملفات مشفرة XOR ذات البايت المفردة.
  • Floss - يستخدم FireEye Labs String Solver تقنيات التحليل الثابت المتقدمة لإزالة السلاسل تلقائيًا من ثنائيات البرامج الضارة.
  • Nomorexor - تخمين مفتاح 256 بايت XOR باستخدام تحليل التردد.
  • PackerAttacker - مستخرج رمز خفي عام لـ Windows Malware.
  • مستخرج Pyinstaller - البرنامج النصي Python لاستخراج محتويات ملف Windows القابل للتنفيذ. يتم أيضًا استخراج محتويات ملف PYZ (عادةً ملفات PYC) الموجودة داخل القابلة للتنفيذ وتثبيتها تلقائيًا بحيث يتعرف عليه DeCompiler بايثون بايت.
  • Uncompyle6 - decompiler pytecode python version. يترجم Python bytecode مرة أخرى إلى رمز مصدر Python المكافئ.
  • un {i} packer - unpacker التلقائي والمنصة المستقلة عن ثنائيات Windows على أساس مضاهاة.
  • Unpacker - البرامج الضارة الآلية لتفكيك البرامج الضارة Windows استنادًا إلى WinAppDBG.
  • UNXOR - تخمين مفاتيح XOR باستخدام هجمات معروفة.
  • VirtualDeobFuscator - أداة هندسة عكسية لأغليف المحاكاة الافتراضية.
  • XorbruteForcer - برنامج نصي للبيثون للبقاء الغاشم الذي يجبر مفاتيح XOR بايت.
  • Xorsearch & Xorstrings - برنامجين من Didier Stevens للعثور على بيانات Xored.
  • Xortool - تخمين طول مفتاح XOR ، وكذلك المفتاح نفسه.

تصحيح الأخطاء والهندسة العكسية

Disassemblers ، Defuggers ، وأدوات التحليل الثابتة والديناميكية الأخرى.

  • ANGR - إطار تحليل ثنائي منصة - Agnostic تم تطويره في SECLAB UCSB.
  • BAMFDETECT - يحدد ويستخلص المعلومات من الروبوتات والبرامج الضارة الأخرى.
  • BAP - إطار تحليل ثنائي المصدر متعدد المصدر (MIT) تم تطويره في CMU's CYLAB.
  • BARF - Multiplatform ، تحليل ثنائي المصدر مفتوح المصدر وإطار الهندسة العكسية.
  • Binnavi - تحليل ثنائي IDE للهندسة العكسية بناءً على تصور الرسم البياني.
  • Binary Ninja - منصة هندسية عكسية هي بديل لـ IDA.
  • Binwalk - أداة تحليل البرامج الثابتة.
  • Bluepill - Framework لتنفيذ وتصحيح البرامج الضارة المراوغة والمحمية.
  • CAPSTONE - إطار التفكيك للتحليل الثنائي وعكسه ، بدعم من العديد من البنى والروابط بعدة لغات.
  • CodeBro - متصفح الكود المستند إلى الويب باستخدام Clang لتوفير تحليل التعليمات البرمجية الأساسية.
  • قاطع - واجهة المستخدم الرسومية لـ RADARE2.
  • DEF (إطار تحليل الكود القابل للتنفيذ الديناميكي) - منصة تحليل ثنائية تعتمد على QEMU. Droidscope هو الآن امتداد ل Decaf.
  • DNSPY - .NET Assembly Editor ، Decompiler و Depugger.
  • Dotpeek - مجاني .NET Decompiler ومستعرض التجميع.
  • Evan's Debugger (EDB) - مصحح تصحيح وحدات مع واجهة المستخدم الرسومية QT.
  • Fibratus - أداة لاستكشاف وتتبع نوافذ النوافذ.
  • FPOR - تقارير تفتح منافذ TCP/IP و UDP في نظام مباشر وتخطط لها إلى تطبيق الامتلاك.
  • GDB - GNU مصحح الأخطاء.
  • ميزات GEF - GDB المحسّنة ، للاستغلال والمهندسين العكسيين.
  • GHIDRA - إطار عمل هندسة عكسية للبرمجيات (SRE) تم إنشاؤه وصيانته من قبل مديرية أبحاث وكالة الأمن القومي.
  • المتسللون - فائدة للبحث عن سلاسل في شركة PE التنفيذية بما في ذلك الواردات والصادرات ورموز التصحيح.
  • Hopper - MacOS و Linux disassembler.
  • IDA Pro - Windows Disassembler و Debugger ، مع إصدار تقييم مجاني.
  • IDR - Interactive Delphi Reconstructor هو decompiler للملفات القابلة للتنفيذ Delphi والمكتبات الديناميكية.
  • تصحيح الحصانة - تصحيح الأخطاء لتحليل البرامج الضارة وأكثر من ذلك ، مع Python API.
  • Ilspy - Ilspy هو متصفح تجميع .NET مفتوح المصدر و decompiler.
  • Kaitai Struct - DSL لتنسيقات الملفات / بروتوكولات الشبكة / هياكل البيانات العكسية للهندسة والتشريح ، مع توليد الكود لـ C ++ ، C#، Java ، JavaScript ، Perl ، PHP ، Python ، Ruby.
  • LIEF - LIEF يوفر مكتبة منصة منصة لتحليل تنسيقات ELF و PE و PE و MATCO.
  • LTRACE - تحليل ديناميكي للتنفيذيات Linux.
  • MAC-A-MAL-إطار عمل آلي لصيد البرامج الضارة Mac.
  • Objdump - جزء من Gnu BinuTils ، للتحليل الثابت لثنائيات Linux.
  • Ollydbg - مصحح أخطاء على مستوى التجميع لنظام التشغيل Windows Executables.
  • OLLYDUMPEX - تفريغ الذاكرة من عملية Windows الضارة (غير المعبأة) وتخزين ملف PE الخام أو إعادة بناء PE. هذا هو البرنامج المساعد لـ Ollydbg و Immunity Debugger و Ida Pro و Windbg و X64DBG.
  • Panda - منصة للتحليل الديناميكي المحايد للهندسة المعمارية.
  • Peda - Python Exploit Development Assistance لـ GDB ، وهي شاشة محسّنة مع أوامر مضافة.
  • PESTUDIO - إجراء تحليل ثابت للنوافذ التنفيذية.
  • PHAROS - يمكن استخدام إطار التحليل الثنائي Pharos لإجراء التحليل الثابت الآلي للثنائيات.
  • البلازما - تفكيك التفاعل لـ X86/ARM/MIPS.
  • PPEE (PUPPY) - مستكشف ملف PE احترافي للانعكاسات ، وباحثو البرامج الضارة وأولئك الذين يرغبون في فحص ملفات PE بشكل ثابت بمزيد من التفصيل.
  • Process Explorer - مدير المهام المتقدم لنظام التشغيل Windows.
  • عملية هاكر - أداة تراقب موارد النظام.
  • مراقبة العملية - أداة المراقبة المتقدمة لبرامج Windows.
  • PSTOOLS - أدوات خط الأوامر Windows التي تساعد في إدارة الأنظمة الحية والتحقيق فيها.
  • Pyew - أداة Python لتحليل البرامج الضارة.
  • Pyrebox - Python Scriptable Engineering Sandbox من قبل فريق Talos في Cisco.
  • Qiling Framework - مضاهاة Cross Platform وإطار Sanboxing مع أدوات للتحليل الثنائي.
  • QKD - QEMU مع خادم Windbg المدمج لتصحيح الأخطاء الشبح.
  • RADARE2 - إطار الهندسة العكسية ، مع دعم تصحيح الأخطاء.
  • Regshot - سجل مقارنة الأداة المساعدة التي تقارن اللقطات.
  • Retdec - Decompiler القابلة للاستهداف الماكينة مع خدمة إزالة الإلغاء عبر الإنترنت وواجهة برمجة التطبيقات التي يمكنك استخدامها في أدواتك.
  • ROPMEMU - إطار عمل لتحليل هجمات الكود المعقدة وتشريحها.
  • Reconstructor الواردات Scylla - ابحث عن وإصلاح IAT لبرامج PE32 غير المعبأة / التي تم إلقاؤها.
  • Scyllahide-مكتبة مضادة لـ Anti-Debug و Plugin لـ Ollydbg و X64DBG و Ida Pro و TitanEngine.
  • SMRT - Sublime Malware Research Tool ، وهو مكون إضافي لـ Sublime 3 للمساعدة في تحليل البرامج الضارة.
  • Strace - التحليل الديناميكي لـ Linux Executables.
  • Stringsifter - أداة تعلم الآلة تصنف الأوتار تلقائيًا بناءً على أهميتها لتحليل البرامج الضارة.
  • Triton - إطار تحليل ثنائي ديناميكي (DBA).
  • UDIS86 - مكتبة Disassembler وأداة X86 و X86_64.
  • Vivisect - أداة Python لتحليل البرامج الضارة.
  • WINDBG - مصحح أخطاء متعددة الأغراض لنظام تشغيل الكمبيوتر Microsoft Windows ، يستخدم لتصحيح تطبيقات وضع المستخدم ، برامج تشغيل الأجهزة ، مقالب الذاكرة في وضع kernel.
  • X64DBG - تصحيح أخطاء X64/X32 مفتوح المصدر لنظام التشغيل Windows.

شبكة

تحليل تفاعلات الشبكة.

  • إخوانه - محلل البروتوكول الذي يعمل على نطاق لا يصدق ؛ كل من بروتوكولات الملف والشبكة.
  • Broyara - استخدم قواعد Yara من Bro.
  • Captipper - خبيث HTTP Explorer.
  • Chopshop - تحليل البروتوكول وإطار فك التشفير.
  • CloudShark - أداة قائمة على الويب لتحليل الحزم والكشف عن حركة مرور البرامج الضارة.
  • Fakenet -NG - أداة تحليل الشبكة الديناميكية للجيل القادم.
  • Fiddler - اعتراض وكيل الويب المصمم لـ "تصحيح الويب".
  • Hale - Botnet C&C Monitor.
  • HAKA - لغة موجهة نحو الأمان مفتوحة المصدر لوصف البروتوكولات وتطبيق سياسات الأمان على حركة المرور (LIVE) التي تم التقاطها.
  • HTTPreplay - مكتبة لتحليل ملفات PCAP وقراءةها ، بما في ذلك تدفقات TLS باستخدام أسرار TLS الرئيسية (المستخدمة في صندوق الصقور).
  • Inetsim - مضاهاة خدمة الشبكة ، مفيدة عند بناء مختبر برامج ضارة.
  • Laika Boss - Laika Boss هو نظام تحليل البرامج الضارة المتمحورة حول الملفات والكشف عن التسلل.
  • MALCOLM - MALCOLM هو مجموعة قوية من أدوات تحليل حركة مرور الشبكة القابلة للنشر للقطع الأثرية الكاملة لالتقاط الحزم (ملفات PCAP) وسجلات ZEEK.
  • MALCOM - محلل اتصالات البرامج الضارة.
  • Mitrail - نظام الكشف عن حركة المرور الخبيث ، باستخدام قوائم (أسود) متوفرة للجمهور تحتوي على مسارات ضارة و/أو مشبوهة بشكل عام ويتميز بواجهة إعداد التقارير والتحليل.
  • MITMProxy - اعتراض حركة الشبكة على الطيران.
  • Moloch - IPv4 capturing ، الفهرسة ونظام قاعدة البيانات.
  • NetworkMiner - أداة تحليل الشبكة الجنائية ، مع إصدار مجاني.
  • NGREP - ابحث من خلال حركة مرور الشبكة مثل GREP.
  • PCAPVIZ - طوبولوجيا الشبكة ومرور حركة المرور.
  • Python ICAP YARA - خادم ICAP مع ماسحة yara لعنوان URL أو المحتوى.
  • Squidmagic - SquidMagic هي أداة مصممة لتحليل حركة مرور الشبكة المستندة إلى الويب للكشف عن خوادم ومراقبة (C&C) المركزية والمواقع الضارة ، باستخدام خادم وكيل Squid و spamhaus.
  • TCPDUMP - جمع حركة مرور الشبكة.
  • TCPICK - TRACH وإعادة تجميع تدفقات TCP من حركة مرور الشبكة.
  • TCPXTRECT - استخراج الملفات من حركة المرور الشبكة.
  • Wireshark - أداة تحليل حركة الشبكة.

الطب الشرعي الذاكرة

أدوات لتشريح البرامج الضارة في صور الذاكرة أو أنظمة التشغيل.

  • Blacklight - Windows/MacOS الطب الشرعي عميل يدعم Hiberfil ، PageFile ، تحليل الذاكرة الخام.
  • DAMM - التحليل التفاضلي للبرامج الضارة في الذاكرة ، مبنية على التقلب.
  • Evolve - واجهة ويب لإطار الطب الشرعي للذاكرة التقلب.
  • Findaes - البحث عن مفاتيح تشفير AES في الذاكرة.
  • Invtero.net - إطار تحليل الذاكرة عالية السرعة التي تم تطويرها في .NET يدعم جميع Windows X64 ، ويشمل تكامل الكود ودعم الكتابة.
  • Muninn - برنامج نصي لأتمتة أجزاء من التحليل باستخدام التقلب ، وإنشاء تقرير قابل للقراءة. Orochi - Orochi هو إطار مفتوح المصدر لتحليل تفريغ الذاكرة الشرعي التعاوني.
  • Rekall - إطار تحليل الذاكرة ، متشوقًا من التقلب في عام 2013.
  • TotalRecall - البرنامج النصي على أساس التقلب لأتمتة مهام تحليل البرامج الضارة المختلفة.
  • فولد - قم بتشغيل التقلبات على صور الذاكرة قبل وبعد تنفيذ البرامج الضارة ، والإبلاغ عن التغييرات.
  • التقلب - إطار الطب الشرعي المتقدم للذاكرة.
  • Volutility - واجهة الويب لإطار تحليل ذاكرة التقلب.
  • WDBGARK - امتداد WINDBG المضاد للروح.
  • Windbg - تفتيش الذاكرة الحية وتصحيح الأخطاء لأنظمة Windows.

القطع الأثرية Windows

  • ACHOIR - برنامج نصي للاستجابة الحادث المباشر لجمع القطع الأثرية Windows.
  • Python -Evt - Python Library لتحليل سجلات أحداث Windows.
  • Python -Registry - مكتبة Python لتحليل ملفات التسجيل.
  • Repripper (Github) - أداة تحليل التسجيل القائمة على البرنامج المساعد.

التخزين وسير العمل

  • أليف - نظام خط أنابيب تحليل البرامج الضارة مفتوحة المصدر.
  • CRITS - البحث التعاوني في التهديدات ، ومستودع البرامج الضارة والتهديدات.
  • FAME-إطار تحليل البرامج الضارة التي تتميز بخط أنابيب يمكن تمديدها مع وحدات مخصصة ، والتي يمكن ربطها بالسلاسل والتفاعل مع بعضها البعض لإجراء التحليل الشامل.
  • البرمجيات الخبيثة - المتجر والعلامة والبحث عن البرامج الضارة.
  • Polichombr - منصة تحليل البرامج الضارة مصممة لمساعدة المحللين على عكس Malwares بشكل تعاوني.
  • STOQ - إطار تحليل المحتوى الموزعة مع دعم مكون إضافي واسع النطاق ، من المدخلات إلى الإخراج ، وكل شيء بينهما.
  • VIPER - إطار إدارة وتحليل ثنائي للمحللين والباحثين.

متنوع

  • الخاسر-برامج ضارة POC ذات نوايا حسنة تتشدد على أنظمة مكافحة البرامج الضارة.
  • Cryptoknight - خوارزمية التشفير الآلية إطار الهندسة والتصنيف العكسي.
  • DC3 -MWCP - إطار محلل تكوين البرامج الخبيثة في مركز الدفاع عن الجريمة.
  • Flare VM - توزيع أمان قابل للتخصيص بالكامل ، والذي يعتمد على Windows لتحليل البرامج الضارة.
  • MalsploitBase - قاعدة بيانات تحتوي على مآثر تستخدمها البرامج الضارة.
  • متحف البرامج الضارة - مجموعة من برامج البرامج الضارة التي تم توزيعها في الثمانينيات والتسعينيات.
  • منظم البرامج الضارة - أداة بسيطة لتنظيم ملفات كبيرة خبيثة/حميدة في بنية منظمة.
  • Pafish - Paranoid Fish ، وهي أداة عرض توضيح توظف العديد من التقنيات لاكتشاف صناديق الرمل وبيئات التحليل بنفس طريقة ما تفعله عائلات البرامج الضارة.
  • Remnux - Linux Distribution و Docker Images للهندسة والتحليل العكسي للبرامج الضارة.
  • Tsurugi Linux - توزيع Linux مصمم لدعم تحقيقات DFIR وتحليل البرامج الضارة وأنشطة OSINT (ذكاء المصدر المفتوح).
  • Santoku Linux - توزيع Linux للطب الشرعي للهواتف المحمولة ، تحليل البرامج الضارة ، والأمان.

موارد

كتب

تحليل البرامج الضارة الأساسية مادة القراءة.

  • تحليل البرامج الضارة - تحليل البرامج الضارة التعلم: استكشف المفاهيم والأدوات والتقنيات إلى الشلل والتحقيق في برنامج Windows Malware
  • كتاب الطبخ الخاص بمحلل البرامج الضارة و DVD - أدوات وتقنيات لمحاربة التعليمات البرمجية الخبيثة.
  • تحليل البرمجيات الضارة - إتقان تحليل البرامج الضارة: دليل محلل البرامج الضارة الكاملة لمكافحة البرامج الضارة ، APT ، هجمات الإنترنت ، وهجمات إنترنت الأشياء
  • إتقان الهندسة العكسية - إتقان الهندسة العكسية: إعادة هندسة مهارات القرصنة الأخلاقية الخاصة بك
  • تحليل البرامج الضارة العملية - دليل التدريب العملي لتشريح البرامج الضارة.
  • الهندسة العكسية العملية - الهندسة العكسية الوسيطة.
  • الطب الشرعي الرقمي الحقيقي - أمان الكمبيوتر والاستجابة للحوادث.
  • RootKits و Bootkits - Rootkits و Bootkits: عكس البرامج الضارة الحديثة والجيل القادم من التهديدات
  • فن الطب الشرعي للذاكرة - الكشف عن البرامج الضارة والتهديدات في ذاكرة Windows و Linux و Mac.
  • The IDA Pro Book - الدليل غير الرسمي لأكثرها شعبية في العالم.
  • The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

آخر

  • APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
  • Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
  • File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
  • Honeynet Project - Honeypot tools, papers, and other resources.
  • Kernel Mode - An active community devoted to malware analysis and kernel development.
  • Malicious Software - Malware blog and resources by Lenny Zeltser.
  • Malware Analysis Search - Custom Google search engine from Corey Harrell.
  • Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
  • Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
  • Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
  • Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
  • Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
  • Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
  • RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
  • WindowsIR: Malware - Harlan Carvey's page on Malware.
  • Windows Registry specification - Windows registry file format specification.
  • /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
  • /r/Malware - The malware subreddit.
  • /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

Related Awesome Lists

  • Android Security
  • AppSec
  • CTFs
  • Executable Packing
  • Forensics
  • "Hacking"
  • Honeypots
  • Industrial Control System Security
  • Incident-Response
  • Infosec
  • PCAP Tools
  • Pentesting
  • حماية
  • Threat Intelligence
  • YARA

المساهمة

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

شكرًا

This list was made possible by:

  • Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
  • Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
  • And everyone else who has sent pull requests or suggested links to add here!

شكرًا!

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل