awesome malware analysis

Eine kuratierte Liste der fantastischen Tools und Ressourcen für Malware -Analyse. Inspiriert von Awesome-Python und Awesome-Php.

• Malware -Sammlung
  • Anonymizer
  • Honeypots
  • Malware Corpora
• Open -Source -Bedrohungsintelligenz
  • Werkzeuge
  • Andere Ressourcen
• Erkennung und Klassifizierung
• Online -Scanner und Sandboxen
• Domänenanalyse
• Browser -Malware
• Dokumente und Shellcode
• Dateischnitzen
• Deobfuskation
• Debugging und Reverse Engineering
• Netzwerk
• Speicher -Forensik
• Windows -Artefakte
• Speicher und Workflow
• Verschiedenes
• Ressourcen
  • Bücher
  • Andere
• Verwandte tolle Listen
• Beitragen
• Danke

Sehen Sie sich chinesische Übersetzung an: 恶意软件分析大合集 ​​.md.

Webverkehr Anonymizer für Analysten.

• Anonymouse.org - ein kostenloser webbasiertes Anonymizer.
• OpenVPN - VPN -Software und Hosting -Lösungen.
• Privoxy - Ein Open -Source -Proxy -Server mit einigen Datenschutzfunktionen.
• TOR - Der Zwiebelrouter, um das Web zu durchsuchen, ohne Spuren der Client -IP zu verlassen.

Fangen Sie und sammeln Sie Ihre eigenen Proben.

• Conpot - ICS/SCADA Honeypot.
• Cowrie - SSH Honeypot, basierend auf Kippo.
• Demohunter - Niedrige Wechselwirkung verteilte Honeypots.
• Dionaea - Honeypot für die Fangen von Malware.
• Glastopf - Webanwendung Honeypot.
• Honeyd - Erstellen Sie ein virtuelles Honignetz.
• Honeydrive - Honeypot -Bündel Linux -Distribution.
• HoneyTrap - OpenSource -System zum Ausführen, Überwachung und Verwalten von Honeypots.
• MHN - MHN ist ein zentraler Server für die Verwaltung und Datenerfassung von Honeypots. Mit MHN können Sie Sensoren schnell bereitstellen und sofort Daten sammeln und von einer ordentlichen Weboberfläche angezeigt werden.
• Mnemosyne - ein Normalisierer für Honeypot -Daten; Unterstützt Dionaea.
• Schläger - Niedrige Interaktion Honeyclient, zur Untersuchung von böswilligen Websites.

Malware -Proben zur Analyse gesammelt.

• Säubere MX - Echtzeitdatenbank für Malware und böswillige Domänen.
• CONTAGIO - Eine Sammlung neuer Malware -Muster und -analysen.
• Datenbank ausnutzen - Exploit- und ShellCode -Beispiele.
• INFOSEC - CERT -PA - Malware -Probensammlung und -analyse.
• Inquest Labs - ständig durchsuchbares Korpus böswilliger Microsoft -Dokumente.
• Sammlung von JavaScript Mallware - Sammlung von fast 40.000 JavaScript -Malware -Muster
• Malpedia - Eine Ressource, die eine schnelle Identifizierung und einen umsetzbaren Kontext für Malware -Untersuchungen bietet.
• MALSHARE - Ein großes Repositor der Malware, die aktiv von böswilligen Websites abgeschafft ist.
• Ragpicker - Plugin -basiertes Malware -Crawler mit Voranalyse und Berichterstattungsfunktionen
• Thezoo - Live -Malware -Beispiele für Analysten.
• Tracker H3X - Agregator für Malware Corpus Tracker und böswillige Download -Websites.
• VDUDDU MALWARE Repo - Sammlung verschiedener Malware -Dateien und Quellcode.
• Virusbay - Community -basierte Malware -Repository und soziales Netzwerk.
• ViruSign - Malware -Datenbank, die von vielen Anti -Malware -Programmen mit Ausnahme von Clamav erkannt wurde.
• Virusshare - Malware -Repository, Registrierung erforderlich.
• VX Vault - Aktive Sammlung von Malware -Proben.
• Zeltsers Quellen - Eine Liste von Malware -Beispielquellen, die von Lenny Zeltser zusammengestellt wurden.
• Zeus -Quellcode - Quelle für den Zeus -Trojaner 2011 durchgesickert.
• VX Underground - Massive und wachsende Sammlung kostenloser Malware -Muster.

Ernten und analysieren IOCs.

• MAPUSEHELPER - Ein Open -Source -Rahmen für den Empfang und die Umverteilung von Missbrauchsfeeds und Bedrohung Intel.
• AUTIENVAULT Open Threat Exchange - teilen und arbeiten bei der Entwicklung von Bedrohungsinformationen zusammen.
• Kombinieren Sie - Werkzeug zum Sammeln von Bedrohungsinformationen aus öffentlich verfügbaren Quellen.
• FileIninTel - Intelligenz pro Datei Hash.
• HostinTel - Intelligenz pro Gastgeber ziehen.
• INTELMQ - Ein Tool für Zertifikate zur Verarbeitung von Vorfalldaten mithilfe einer Nachrichtenwarteschlange.
• IOC -Editor - Ein kostenloser Editor für XML -IOC -Dateien.
• IOCExtract - Erweiterter Indikator für Kompromisse (IOC) Extraktor, Python Library und Befehlszeilen -Tool.
• IOC_Writer - Python Library für die Arbeit mit OpenIOC -Objekten von Mandiant.
• Malpipe - Malware/IOC -Aufnahme und Verarbeitungsmaschine, die gesammelte Daten anreichert.
• Massive Okto -Gewürz - zuvor als CIF bekannt (Collective Intelligence Framework). Aggregiert IOCs aus verschiedenen Listen. Kuratiert von der CSIRT Gadgets Foundation.
• MISP - Malware Information Sharing Platform, die vom MISP -Projekt kuratiert wurde.
• Pulsierende-freie, gemeindenahe Bedrohungsintelligenzplattform, die IOCs aus Open-Source-Feeds sammelt.
• Pyioce - Ein Python Openioc Editor.
• Risikiq - Forschung, Verbinden, Tag und Teilen von IPS und Domains. (War passivetotal.)
• ThreatAgGregator - Aggregate Sicherheitsbedrohungen aus einer Reihe von Quellen, einschließlich einiger der unten aufgeführten in anderen Ressourcen.
• ThreatConnect - TC Open ermöglicht es Ihnen, Open -Source -Bedrohungsdaten mit Unterstützung und Validierung unserer kostenlosen Community zu sehen und zu teilen.
• Bedrohung - eine Suchmaschine für Bedrohungen mit grafischer Visualisierung.
• Bedrohungstor - Bauen Sie automatisierte Bedrohungs -Intel -Pipelines aus Twitter, RSS, GitHub und mehr.
• Bedrohungstracker - Ein Python -Skript zur Überwachung und Generierung von Warnungen basierend auf IOCs, die von einer Reihe von benutzerdefinierten Suchmaschinen von Google indiziert sind.
• Tiq -Test - Datenvisualisierung und statistische Analyse von Bedrohungsintelligenz -Feeds.

Bedrohungsintelligenz und IOC -Ressourcen.

• Autoshun (Liste) - Snort Plugin und Blocklist.
• Bambenk Consulting Feeds - OSINT -Feeds basierend auf böswilligen DGA -Algorithmen.
• Fidelis Barncat - Umfangreiche Malware -Konfigurationsdatenbank (muss Zugriff anfordern).
• CI Army (Liste) - Netzwerksicherheitsblocklisten.
• Critical Stack - Free Intel Market - kostenloser Intel -Aggregator mit einer Deduplizierung mit über 90 Feeds und über 1,2 m Indikatoren.
• Cybercrime Tracker - Mehrfach Botnet Active Tracker.
• Fireye -IOCs - Indikatoren für Kompromisse, die von Fireeye öffentlich geteilt werden.
• Firehol IP -Listen - Analytics für 350 IP -Listen mit Schwerpunkt auf Angriffen, Malware und Missbrauch. Evolution, verändert die Geschichte, Landkarten, das Alter der IPS, die Aufbewahrungspolitik, überschneidet.
• Honeydb - Community -angetriebene Honeypot -Sensordatenerfassung und -Aggregation.
• Hpfeeds - Honeypot -Futterprotokoll.
• Infosec - Cert -Pa -Listen (IPS - Domains - URLs) - Blocklist -Dienst.
• Inquest Repdb - kontinuierliche Aggregation von IOCs aus einer Vielzahl offener Reputationsquellen.
• Ermittlungs -IOCDB - Kontinuierliche Aggregation von IOCs aus verschiedenen Blogs, Github -Repos und Twitter.
• Internet Storm Center (DSHield) - Tagebuch und durchsuchbare Vorfalldatenbank mit einer Web -API. (Inoffizielle Python -Bibliothek).
• MALC0DE - Datenbank für durchsuchbare Vorfälle.
• Malware -Domänenliste - Suchen und teilen böswillige URLs.
• MetadeFender Threat Intelligence -Feed - Liste der am häufigsten nachgeschlagenen Datei -Hashes von MetadeFender Cloud.
• OpenIOC - Framework zum Austausch von Bedrohungsintelligen.
• Proofpoint Bedrohung Intelligence - Regeln und mehr. (Früher aufkommende Drohungen.)
• Ransomware -Übersicht - eine Liste der Ransomware -Übersicht mit Details, Erkennung und Prävention.
• STIX - Strukturierte Bedrohungsinformationsausdruck - standardisierte Sprache zur Darstellung und Freigabe von Cyber ​​-Bedrohungsinformationen. Verwandte Bemühungen von Gehrung:
  • CAPEC - Aufzählung und Klassifizierung der gemeinsamen Angriffsmuster
  • Cybox - Cyber ​​Observables Expression
  • MAEC - Malware -Attribut Aufzählung und Charakterisierung
  • Taxii - vertrauenswürdiger automatisierter Austausch von Indikatorinformationen
• SystemLookup - SystemLookup veranstaltet eine Sammlung von Listen, die Informationen zu den Komponenten legitimer und potenziell unerwünschter Programme liefern.
• Bedrohungsminer - Data Mining -Portal für Bedrohungsintelligenz mit Suche.
• Threatrecon - Suche nach Indikatoren, bis zu 1000 kostenlos pro Monat.
• ThreatShare - C2 Panel Tracker
• Yara Rules - Yara Rules Repository.
• Yeti - Yeti ist eine Plattform, um Observablen, Kompromisse, TTPs und Wissen über Bedrohungen in einem einzigen, einheitlichen Repository zu organisieren.
• Zeus Tracker - Zeus -Blocklisten.

Antiviren- und andere Malware -Identifikationstools

• Analyzepe - Wrapper für eine Vielzahl von Tools für die Berichterstattung unter Windows PE -Dateien.
• Assemblyline - Ein skalierbares Triage- und Malware -Analyse -System, das die besten Tools der Cyber ​​Security Community integriert.
• BINARYALERT - Eine open Souren -Serverless AWS -Pipeline, die auf hochgeladenen Dateien basierend auf einer Reihe von Yara -Regeln scannt und aufmerksam wird.
• CAPA - Erkennt Funktionen in ausführbaren Dateien.
• Chkrootkit - Lokale Linux Rootkit -Erkennung.
• Clamav - Open Source -Antivirenmotor.
• Erkennen Sie Easy (Die) - ein Programm zur Bestimmung von Dateientypen.
• Exeinfo PE - Packer, Kompressordetektor, Auspacken Sie Informationen, interne Exe -Tools.
• Extiftool - Lesen, Schreiben und Bearbeiten von Dateimetadaten.
• Datei -Scan -Framework - Modulare, rekursive Datei -Scan -Lösung.
• FN2YARA - FN2YARA ist ein Werkzeug, um Yara -Signaturen für die Übereinstimmung von Funktionen (Code) in einem ausführbaren Programm zu generieren.
• Generic File Parser - Ein einzelner Bibliotheksparser zum Extrahieren von Meta -Informationen, zur statischen Analyse und zum Erkennen von Makros in den Dateien.
• Hashdeep - Berechnen Sie Digest Hashes mit einer Vielzahl von Algorithmen.
• HashCheck - Windows -Shell -Erweiterung, um Hashes mit einer Vielzahl von Algorithmen zu berechnen.
• Loki - Hostbasierter Scanner für IOCs.
• Fehlfunktion - Katalog und vergleichen Sie Malware auf einer Funktionsebene.
• Manalyze - Statischer Analysator für PE -Ausführbare.
• Mastiff - Statische Analyse -Framework.
• Multiscanner - Modulare Datei -Scan-/Analyse -Framework
• NAUZ -Dateidetektor (NFD) - Linker/Compiler/Tool -Detektor für Windows, Linux und MacOS.
• NSRLlookup - Ein Tool zur Suche nach Hashes in der nationalen Software -Referenzbibliotheksdatenbank von NIST.
• Packerid - eine plattformübergreifende Python -Alternative zu PEID.
• PE -BAR - Umkehrtool für PE -Dateien.
• Peframe - Peframe ist ein Open -Source -Tool zur Durchführung einer statischen Analyse zu tragbaren ausführbaren Malware und böswilligen MS -Office -Dokumenten.
• PEV - Ein Multiplattform -Toolkit zum Arbeiten mit PE -Dateien, die Funktionen für Funktionen für die ordnungsgemäße Analyse verdächtiger Binärdateien bereitstellen.
• Portex - Java -Bibliothek zur Analyse von PE -Dateien mit einem besonderen Schwerpunkt auf Malware -Analyse und Robustheit der PE -Missbildung.
• Quark-Engine-Ein Verschleierungsneglektor-Android-Malware-Bewertungssystem
• Rootkit Hunter - Linux Rootkits erkennen.
• SSDEEP - Fuzzy Hashes berechnen.
• TotalHash.py - Python -Skript für die einfache Suche der TotalHash.cymru.com -Datenbank.
• Trid - Dateikennung.
• Yara - Muster -Matching -Tool für Analysten.
• Yara Rules Generator - Generieren Sie YARA -Regeln basierend auf einer Reihe von Malware -Stichproben. Enthält auch eine gute DB, um falsch positive Ergebnisse zu vermeiden.
• Yara Finder - Ein einfaches Tool für Yara entspricht der Datei mit verschiedenen YARA -Regeln, um die Indikatoren für den Verdacht zu finden.

Webbasierte Multi-AV-Scanner und Malware-Sandboxen zur automatisierten Analyse.

• Anlyz.io - Online -Sandbox.
• Any.Run - Online Interactive Sandbox.
• Andrototal - Kostenlose Online -Analyse von APKs gegen mehrere mobile Antiviren -Apps.
• Boombox - Automatische Bereitstellung von Cuckoo Sandbox Malware Lab mit Packer und Vagrant.
• Cryptam - Analysieren Sie verdächtige Office -Dokumente.
• Cuckoo Sandbox - Open Source, Self Hosted Sandbox und Automated Analysis System.
• Cuckoo -modifizierte - modifizierte Version von Cuckoo Sandbox, die unter der GPL veröffentlicht wurde. Aufgrund gesetzlicher Bedenken des Autors nicht stromaufwärts verschmolzen.
• Cuckoo-modifiziert-api-Eine Python-API, mit der eine kuckucko-modifizierte Sandkiste gesteuert wird.
• Deepviz-Multi-Format-Dateianalysator mit maschineller Lernklassifizierung.
• DETUX - Eine Sandkasten, die zur Verkehrsanalyse von Linux -Malwares und Erfassen von IOCs entwickelt wurde.
• Drakvuf - Dynamisches Malware -Analyse -System.
• filescan.io - statische Malwareanalyse, VBA/PowerShell/VBS/JS Emulation
• firmware.re - packt, scannt und analysiert fast jedes Firmware -Paket.
• Habomalhunter - Ein automatisiertes Malware -Analyse -Tool für Linux -ELF -Dateien.
• Hybridanalyse - Online -Malware -Analyse -Tool, betrieben von VXSandBox.
• Intezer - Malware erkennen, analysieren und kategorisieren, indem sie die Wiederverwendung von Code und die Code -Ähnlichkeiten identifizieren.
• Irma - Eine asynchrone und anpassbare Analyseplattform für verdächtige Dateien.
• Joe Sandbox - Deep Malware -Analyse mit Joe Sandbox.
• Jotti - kostenloser Online -Multi -AV -Scanner.
• Limon - Sandbox zur Analyse von Linux -Malware.
• MALHEUR - Automatische Sandboxanalyse des Malwareverhaltens.
• Malice.io - Massiv skalierbares Malware -Analyse -Framework.
• Malsub - Ein Python Rastful API -Framework für Online -Malware- und URL -Analysedienste.
• Malware -Konfiguration - extrahieren, dekodieren und online die Konfigurationseinstellungen aus allgemeinen Malwares extrahieren und anzeigen.
• MALWAREANALYSER.IO - Online -Anomalie -basierte statische Analysatorin mit heuristischer Erkennung, die durch Data Mining und maschinelles Lernen betrieben wird.
• MALWR - KOSTENLOSE Analyse mit einer Online -Cuckoo -Sandbox -Instanz.
• Metadefender Cloud - Scannen Sie eine Datei, Hash, IP, URL oder Domänenadresse für Malware kostenlos.
• NetworkTotal - Ein Dienst, der PCAP -Dateien analysiert und die schnelle Erkennung von Viren, Würmern, Trojanern und allen Arten von Malware unter Verwendung von Suricata erleichtert, die mit EmergingThreats Pro konfiguriert sind.
• NORIBEN - verwendet Sysinternals Procmon, um Informationen über Malware in einer Sandbox -Umgebung zu sammeln.
• Packettotal - Packettotal ist eine Online -Engine für die Analyse von .pcap -Dateien und die Visualisierung des Netzwerkverkehrs innerhalb.
• PDF -Prüfer - Analysieren Sie verdächtige PDF -Dateien.
• Procdot - Ein grafisches Malware -Tool -Kit.
• Neukomponisten - Ein Helfer -Skript zum sicheren Hochladen von Binärdateien auf Sandbox -Websites.
• SANDBOXAPI - Python -Bibliothek zum Aufbau von Integrationen mit mehreren Open Source- und kommerziellen Malware -Sandboxen.
• Siehe - Sandboxed Execution Environment (siehe) ist ein Rahmen für die Erstellung von Testautomatisierung in gesicherten Umgebungen.
• Sekoia Dropper -Analyse - Online -Tropfenanalyse (JS, VBScript, Microsoft Office, PDF).
• Virustotal - kostenlose Online -Analyse von Malware -Proben und URLs
• Visualisierung_logs - Open -Source -Visualisierungsbibliothek und Befehlszeilen -Tools für Protokolle. (Kuckuck, Procmon, noch mehr ...)
• Zeltsers Liste - KOSTENLOSE automatisierte Sandkästen und Dienste, zusammengestellt von Lenny Zeltser.

Überprüfen Sie Domänen und IP -Adressen.

• Missseipdb - Missseipdb ist ein Projekt, das sich zur Bekämpfung der Verbreitung von Hackern, Spammer und missbräuchlichen Aktivitäten im Internet widmet.
• Badips.com - Community -basierte IP Blacklist -Dienst.
• Boomerang - Ein Tool, das für die konsistente und sichere Erfassung von Off -Netzwerk -Webressourcen entwickelt wurde.
• Cymon - Threat Intelligence Tracker mit IP/Domain/Hash -Suche.
• DESENMASCARA.ME - Ein Klick -Tool, um für eine Website so viel Metadaten wie möglich abzurufen und deren gute Stellung zu beurteilen.
• DIG - kostenlose Online -Dig- und andere Netzwerk -Tools.
• DNSTWIST - Domainname Permutation Engine zum Erkennen von Tippfehler, Phishing und Unternehmensspionage.
• IPINFO - Sammeln Sie Informationen zu IP oder Domain, indem Sie Online -Ressourcen durchsuchen.
• Machinae - OSINT -Tool zum Sammeln von Informationen über URLs, IPs oder Hashes. Ähnlich wie bei Automator.
• MailChecker - Cross -Language Temporäre E -Mail -Erkennungsbibliothek.
• MALTEGOVT - MALTEGO -Transformation für die virustotale API. Ermöglicht die Domäne/IP -Forschung und die Suche nach Datei -Hashes und Scanberichten.
• Multi RBL - Mehrere DNS Blacklist und Forward bestätigte umgekehrte DNS -Suche über mehr als 300 RBLs.
• NormShield Services - Kostenlose API -Dienste zur Erkennung möglicher Phishing -Domänen, IP -Adressen auf schwarze Liste und Verletzungskonten.
• Phishstats - Phishing -Statistiken mit Suche nach IP-, Domain- und Website -Titel
• Spyse - Subdomains, WHOIs, realisierte Domänen, DNs, Hosts AS, SSL/TLS -Info,
• SecurityTrails - Historische und aktuelle WHOIs, historische und aktuelle DNS -Aufzeichnungen, ähnliche Domänen, Zertifikatsinformationen sowie andere Domänen- und IP -bezogene API und Tools.
• SPAMCOP - IP -basierte Spam -Blockliste.
• Spamhaus - Blockliste basierend auf Domänen und IPs.
• Sucuri Sitecheck - KOSTENLOSE Website Malware und Security Scanner.
• Talos Intelligence - Suche nach IP-, Domain- oder Netzwerkbesitzer. (Zuvor Absenderbase.)
• Tekdefense Automater - OSINT -Tool zum Sammeln von Informationen über URLs, IPs oder Hashes.
• URLHAUS - Ein Projekt aus Missbrauch.ch mit dem Ziel, böswillige URLs zu teilen, die für die Verteilung von Malware verwendet werden.
• URLQuery - Kostenloser URL -Scanner.
• URLSCAN.IO - Kostenlose Informationen zum kostenlosen URL -Scanner und Domänen.
• Whois - Domaintools kostenlose Online -Whois -Suche.
• Zeltsers Liste - Kostenlose Online -Tools zur Erforschung von böswilligen Websites, zusammengestellt von Lenny Zeltser.
• Zscalar Zulu - Zulu URL -Risikoanalysator.

Analysieren Sie bösartige URLs. Siehe auch die Domänenanalyse und Dokumente und Shellcode -Abschnitte.

• Bytecode Viewer - kombiniert mehrere Java -Bytecode -Zuschauer und Dekompiler zu einem Tool, einschließlich APK/DEX -Unterstützung.
• Firebug - Firefox -Erweiterung für die Webentwicklung.
• Java Decompiler - Dekompile und inspizieren Sie Java -Apps.
• Java IDX Parser - Parse Java IDX -Cache -Dateien.
• JSDETOX - JavaScript Malware -Analyse -Tool.
• JSunpack -N - Ein JavaScript -Expacker, der die Browserfunktionalität emuliert.
• Krakatau - Java Decompiler, Assembler und Disassembler.
• Malzilla - Bösartige Webseiten analysieren.
• RabcDasm - ein "robustes Bytecode -Disassembler von Actioncript".
• SWF -Forscher - Statische und dynamische Analyse von SWF -Anwendungen.
• SWFTOOLS - Tools für die Arbeit mit Adobe Flash -Dateien.
• XXXSWF - Ein Python -Skript zur Analyse von Flash -Dateien.

Analysieren Sie böswillige JS und Shellcode aus PDFs und Bürodokumenten. Siehe auch den Abschnitt "Browser Malware".

• Analyzepdf - Ein Werkzeug zur Analyse von PDFs und dem Versuch, festzustellen, ob sie böswillig sind.
• Box -JS - Ein Tool zum Untersuchung von JavaScript -Malware mit JSCript/Wscript -Unterstützung und ActiveX -Emulation.
• Distorm - Disassembler zur Analyse böswilliger Shellcode.
• Inspektion von Ermittlungen Deep Datei - Laden Sie gemeinsame Malware -Köder für die tiefe Dateiinspektion und heuristische Analyse hoch.
• JS -Verschönerer - JavaScript -Auspacken und Deobfuskation.
• Libemu - Bibliothek und Werkzeuge für die X86 -Shellcode -Emulation.
• MALPDFOBJ - Dekonstruiert bösartige PDFs in eine JSON -Darstellung.
• OfficemalsCanner - Scannen Sie nach böswilligen Spuren in MS -Office -Dokumenten.
• Olevba - Ein Skript zum Parsen von OLE- und OpenXML -Dokumenten und zum Extrahieren nützlicher Informationen.
• Origami PDF - Ein Werkzeug zur Analyse bösartiger PDFs und mehr.
• PDF -Tools - PDFID, PDF -Parser und mehr von Didier Stevens.
• PDF-Röntgen-Lite-Ein PDF-Analyse-Tool, die backendfreie Version von PDF-Röntgenaufnahme.
• Peepdf - Python -Tool zur Erkundung möglicherweise böswilliger PDFs.
• TRCKSAND - TRCKSAND ist ein kompaktes C -Framework, mit dem vermutete Malware -Dokumente analysiert werden, um Exploits in Streams verschiedener Codierungen zu identifizieren und eingebettete ausführbare Ausführungen zu lokalisieren und zu extrahieren.
• Spidermonkey - Mozillas JavaScript -Engine für bösartige JS.

Zum Extrahieren von Dateien von Innen- und Speicherbildern.

• Bulk_extractor - Schnelles File -Carving -Tool.
• EVTXTRACT - Windows -Ereignisprotokolldateien aus Rohbinärdaten.
• In erster Linie - Datei -Schnitzwerkzeug, das von der US -Luftwaffe entworfen wurde.
• Hachoir3 - Hachoir ist eine Python -Bibliothek, um ein Binärstromfeld nach Feld anzuzeigen und zu bearbeiten.
• Skalpell - Ein weiteres Datenschnitzwerkzeug.
• SFOCK - verschachtelte Archivextraktion/-packung (in Kuckucksandkasten verwendet).

Umgekehrte XOR- und andere Code -Verschleierung Methoden.

• BALBUZARD - Ein Malware -Analyse -Tool zur Umkehrung der Verschleierung (XOR, ROL usw.) und mehr.
• DE4DOT - .NET DEOBFUSCator und Expacker.
• EX_PE_XOR & IHEARTXOR - Zwei Tools von Alexander Hanel für die Arbeit mit Single -Byte XOR -codierten Dateien.
• FLOSS - Der verheerte String -Solver von Fireeye Labs verwendet erweiterte statische Analysetechniken, um automatisch von Malware -Binärdateien zu deobfuscatieren.
• Nomorexor - Raten Sie einen 256 Byte XOR -Schlüssel unter Verwendung der Frequenzanalyse.
• Packerattacker - Ein generischer Hidden -Code -Extraktor für Windows Malware.
• Pyinstaller -Extraktor - Ein Python -Skript zum Extrahieren des Inhalts einer pyinstaller generierten Windows -ausführbaren Datei. Der Inhalt der PYZ -Datei (normalerweise in der ausführbare Dateien vorhandene PYC -Dateien) wird ebenfalls extrahiert und automatisch behoben, sodass ein Python -Bytecode -Dekompiler sie erkennt.
• UNCOMPYLE6 - Ein Cross -Version -Python -Bytecode -Dekompiler. Übersetzt Python -Bytecode wieder in den äquivalenten Python -Quellcode.
• UN {I} Packer - Automatisch und plattformunabhängig für Windows -Binärdateien basierend auf Emulation.
• Expacker - Automatisierte Malware -Expacker für Windows Malware basierend auf WinAppdbg.
• UNXOR - Raten Sie XOR -Tasten mit bekannten Plaintext -Angriffen.
• VirtualDeObfuscator - Reverse Engineering Tool für Virtualisierungswrapper.
• XorbuteForcer - Ein Python -Skript für brutale, die Single -Byte -XOR -Schlüssel erzwingen.
• XORSEARCH & XORSTRINGS - Ein paar Programme von Didier Stevens zum Auffinden von Xored -Daten.
• Xortool - Raten Sie die XOR -Schlüssellänge sowie der Schlüssel selbst.

Disassembler, Debugger und andere statische und dynamische Analysewerkzeuge.

• ANGR - Plattform -agnostische Binäranalyse -Framework, entwickelt am Sekreta von UCSB.
• BAMFDETECT - Identifiziert und extrahiert Informationen von Bots und anderen Malware.
• BAP - Multiplattform und Open Source (MIT) Binäranalyse -Gerüst entwickelt am CMU -Zylaber.
• BARF - Multiplattform, Binäranalyse von Open Source und Reverse Engineering Framework.
• Binnavi - Binäranalyse IDE für Reverse Engineering basierend auf der Grafikvisualisierung.
• Binärer Ninja - Eine Umkehrungstechnik -Plattform, die eine Alternative zu IDA ist.
• Binwalk - Firmware -Analyse -Tool.
• Bluepill - Framework für die Ausführung und Debugie von Ausweichmalware und geschützten ausführbaren Ausführungsfähigkeiten.
• Capstone - Demontage -Rahmen für binäre Analyse und Umkehrung mit Unterstützung für viele Architekturen und Bindungen in mehreren Sprachen.
• CODEBRO - Webbasierter Codebrowser mit Clang, um grundlegende Codeanalyse bereitzustellen.
• Cutter - GUI für Radare2.
• DECAF (Dynamic Executable Code Analysis Framework) - Eine auf QEMU basierende Binäranalyse -Plattform. DroidScope ist jetzt eine Erweiterung des Decaf.
• DNSPY - .NET Assembly Editor, Decompiler und Debugger.
• Dotpeek - freie .NET Decompiler und Montagebrowser.
• Evans Debugger (EDB) - ein modularer Debugger mit einer QT -GUI.
• Fibratus - Werkzeug zur Erkundung und Verfolgung des Windows -Kernels.
• FPORT - Berichte Open TCP/IP- und UDP -Ports in einem Live -System und ordnen sie der Besitzanwendung ab.
• GDB - Der GNU -Debugger.
• GEF - GDB -Verbesserte Funktionen für Ausbeuter und Rückwärtsingenieure.
• GHIDRA - Ein Software Reverse Engineering (SRE) Framework, das von der Forschungsdirektion der National Security Agency erstellt und gepflegt wurde.
• Hacker -Grep - Ein Dienstprogramm zur Suche nach Saiten in PE -ausführbaren Ausführungen, einschließlich Importe, Exporten und Debug -Symbolen.
• Hopper - The MacOS und Linux Disassembler.
• IDA Pro - Windows Disassembler und Debugger mit einer kostenlosen Bewertungsversion.
• IDR - Interaktiver Delphi -Rekonstruktor ist ein Dekompilier von Delphi ausführbaren Dateien und dynamischen Bibliotheken.
• Immunitätsdebugger - Debugger für Malware -Analyse und mehr mit einer Python -API.
• ILSPY - ILSPY ist der Open -Source .NET -Assembly -Browser und Dekompiler.
• Kaitai Struct - DSL für Dateiformate / Netzwerkprotokolle / Datenstrukturen Reverse Engineering und Dissektion mit Codegenerierung für C ++, C#, Java, JavaScript, Perl, Php, Python, Ruby.
• LIEF - LIEF bietet eine plattformübergreifende Bibliothek, um ELF-, PE- und Macho -Formate zu analysieren, zu modifizieren und zu abstrakten.
• LTRACE - Dynamische Analyse für Linux -ausführbare Produkte.
• MAC-A-MAL-Ein automatisiertes Framework für die MAC-Malwarejagd.
• Objdump - Teil von Gnu Binutils für die statische Analyse von Linux -Binärdateien.
• OLLYDBG - Ein Debugger auf Assemblerebene für Windows Executables.
• Ollydumpex - Speicher aus (ausgepackt) Malware -Windows -Verfahren und speichern Sie RAW- oder REBUILD PE -Datei. Dies ist ein Plugin für OllyDBG, Immunity -Debugger, IDA Pro, Windbg und X64DBG.
• Panda - Plattform für architekturneutrale dynamische Analyse.
• PEDA - Python Exploit Development Assistance für GDB, ein erweitertes Display mit zusätzlichen Befehlen.
• PESTUDIO - Führen Sie eine statische Analyse von Windows Executables durch.
• PHAROS - Mit dem Pharos -Binäranalyse -Framework kann eine automatisierte statische Analyse von Binärdateien durchgeführt werden.
• Plasma - Interaktiver Disassembler für X86/Arm/MIPS.
• PPEE (Puppy) - Ein professioneller PE -Datei -Explorer für Umkehrer, Malware -Forscher und diejenigen, die PE -Dateien statisch genauer inspizieren möchten.
• Process Explorer - Advanced Task Manager für Windows.
• Process Hacker - Tool, das die Systemressourcen überwacht.
• Prozessmonitor - Erweitertes Überwachungstool für Windows -Programme.
• Pstools - Windows -Befehlszeilen -Tools, mit denen Live -Systeme verwaltet und untersucht werden können.
• Pyew - Python -Tool zur Malwareanalyse.
• Pyrebox - Python Scriptable Reverse Engineering Sandbox vom Talos -Team bei Cisco.
• Qiling Framework - Cross -Plattform -Emulation und Sanboxing -Framework mit Instrumenten für die binäre Analyse.
• QKD - QEMU mit einem eingebetteten Windbg -Server zum Debuggen von Stealth.
• Radare2 - Reverse Engineering Framework mit Debugger -Unterstützung.
• RegSthot - Registrierung vergleichen das Dienstprogramm, das Schnappschüsse vergleicht.
• RETDEC - Retargetable Maschinencode Decompiler mit einem Online -Dekompilierungsdienst und einer API, die Sie in Ihren Tools verwenden können.
• ROPMEMU - Ein Rahmen zum Analysieren, Analysieren und Dekompilieren komplexer Code -Rese -Angriffe.
• Scylla importiert Rekonstruktor - Finden und beheben Sie die IAT einer ausgepackten / abgeladenen PE32 -Malware.
• Scyllahide-eine Anti-Anti-Debug-Bibliothek und Plugin für OllyDBG, X64DBG, IDA Pro und Titanengine.
• SMRT - Sublime Malware Research Tool, ein Plugin für Sublime 3, um die Malware -Analyis zu unterstützen.
• Strace - Dynamische Analyse für Linux -ausführbare Produkte.
• STRINGSIFTER - Ein Tool für maschinelles Lernen, das die Zeichenfolgen automatisch auf der Grundlage ihrer Relevanz für die Malware -Analyse bewertet.
• Triton - ein DBBA -Framework (Dynamic Binary Analysis).
• UDIS86 - Disassembler -Bibliothek und Tool für x86 und x86_64.
• Vivisect - Python -Tool für Malware -Analyse.
• WINDBG - Mehrzweck -Debugger für das Microsoft Windows -Computerbetriebssystem, das zum Debuggen von Benutzermodusanwendungen, Gerätetreiber und den Kernel -Mode -Speicher -Dumps verwendet wird.
• X64DBG - Ein Open -Source X64/X32 -Debugger für Windows.

Analysieren Sie die Netzwerkinteraktionen.

• Bro - Protokollanalysator, der in unglaublichem Maßstab arbeitet; Sowohl Datei- als auch Netzwerkprotokolle.
• Broyara - Verwenden Sie Yara Regeln von Bro.
• Captipper - Bösartiger HTTP -Verkehrsentdecker.
• Chopshop - Protokollanalyse und Decodierungsgerüst.
• CloudShark - Webbasierte Tool für Paketanalyse und Malware -Verkehrserkennung.
• Fakenet -NG - Dynamisches Netzwerkanalyse -Tool der nächsten Generation.
• Fiddler - Abfangen von Web -Proxy für "Web -Debugging".
• Hale - Botnet C & C Monitor.
• HAKA - Eine Sicherheitssprache für Open Source -Orientierungen für die Beschreibung von Protokollen und die Anwendung von Sicherheitsrichtlinien auf (lebende) Daten erfassten den Verkehr.
• HTTPREPLAY - Bibliothek zum Parsen und Lesen von PCAP -Dateien, einschließlich TLS -Streams mit TLS -Master -Geheimnissen (in Cuckoo Sandbox verwendet).
• INETIM - Network Service Emulation, nützlich beim Erstellen eines Malware -Labors.
• Laika Chef - Laika -Chef ist ein Datei -zentriertes Malware -Analyse- und Intrusion -Erkennungssystem.
• MALCOLM - MALCOLM ist eine leistungsstarke, einfach einsetzbare Netzwerkverkehrsanalyse -Tool -Suite für vollständige Artefakte (PCAP -Dateien) und Zeek -Protokolle.
• Malcom - Malware Communications Analyzer.
• MASTAIL - Ein bösartiges Verkehrserkennungssystem, das öffentlich verfügbare (schwarze) Listen mit böswilligen und/oder allgemein verdächtigen Wegen und einer Berichts- und Analyseschnittstelle verwendet.
• Mitmproxy - Intercept -Netzwerkverkehr im laufenden Fliegen.
• Moloch - IPv4 -Verkehrserfassungs-, Indexierungs- und Datenbanksystem.
• NetworkMiner - Network Forensic Analysis Tool mit einer kostenlosen Version.
• NGREP - Suchen Sie den Netzwerkverkehr wie Grep.
• PCAPVIZ - Netzwerktopologie und Traffic Visualizer.
• Python ICAP YARA - Ein ICAP -Server mit Yara -Scanner für URL oder Inhalt.
• Squidmagic - Squidmagic ist ein Tool, mit dem ein webbasiertes Netzwerkverkehr analysiert wurde, um den zentralen Befehl und die Steuerung (C & C) und böswillige Websites mithilfe von Squid Proxy Server und Spamhaus zu erkennen.
• TCPDUMP - Sammeln Sie den Netzwerkverkehr.
• TCPICK - TRACH UND TCP -Streams aus dem Netzwerkverkehr.
• tcpxtract - Extrahieren Sie Dateien aus dem Netzwerkverkehr.
• Wireshark - Das Tool für Netzwerkverkehrsanalyse.

Tools zum Zerlegen von Malware in Speicherbildern oder laufenden Systemen.

• Blacklight - Windows/MacOS -Forensik -Client unterstützt Hiberfile, Pagefile, RAW -Speicheranalyse.
• DAMM - Differentialanalyse von Malware im Speicher, basiert auf Volatilität.
• Evolve - Webschnittstelle für das Forensik -Framework der Volatilitätsspeicher.
• Findaes - Finden Sie AES -Verschlüsselungsschlüssel im Speicher.
• INVTERO.NET - Hochgeschwindigkeitsspeicher -Analyse -Framework, das in .NET entwickelt wurde, unterstützt alle Windows X64, enthält Code -Integrität und Schreibunterstützung.
• Muninn - Ein Skript zur Automatisierung von Teilen der Analyse mithilfe der Volatilität und zum Erstellen eines lesbaren Berichts. Orochi - Orochi ist ein Open -Source -Framework für die kollaborative forensische Speicher -Dump -Analyse.
• Rekall - Speicheranalyse -Framework, aus der Volatilität im Jahr 2013 gegabelt.
• TotalRecall - Skript basierend auf der Volatilität zur Automatisierung verschiedener Malware -Analyseaufgaben.
• VOLDIFF - Führen Sie die Volatilität auf Speicherbildern vor und nach der Ausführung von Malware aus und melden Sie Änderungen.
• Volatilität - Forensiker Forensiker erweiterte.
• Volutilität - Webschnittstelle für das Rahmen der Volatilitätsspeicheranalyse.
• WDBGARK - WINDBG Anti -Rootkit -Erweiterung.
• WINDBG - Live -Speicherinspektion und Kernel -Debugging für Windows -Systeme.

• Achoir - Ein Live -Skript für Vorfälle zum Sammeln von Windows -Artefakten.
• Python -Evt - Python Library zum Parsen von Windows -Ereignisprotokollen.
• Python -Registry - Python -Bibliothek für Parsing -Registrierungsdateien.
• REGRIPPER (GITHUB) - Plugin -basierte Registrierungsanalyse -Tool.

• Aleph - Open Source Malware -Analyse -Pipeline -System.
• CRITS - Kollaborative Erforschung von Bedrohungen, Malware und Bedrohungsrepository.
• FAME-Ein Malware-Analyse-Framework mit einer Pipeline, die mit benutzerdefinierten Modulen erweitert werden kann, die gekettet und miteinander interagieren können, um eine End-to-End-Analyse durchzuführen.
• MALWAREHOUSE - Store, Tag und Such Malware.
• Polichombr - Eine Malware -Analyse -Plattform, mit der Analysten bei der Umkehrung von Malwares zusammenarbeiten sollen.
• STOQ - Verteilter Inhaltsanalyse -Framework mit umfangreicher Plugin -Unterstützung, von der Eingabe bis zur Ausgabe und allem dazwischen.
• Viper - Ein Binärmanagement- und -analyse -Rahmen für Analysten und Forscher.

• Al-Khaser-Eine POC-Malware mit guten Absichten, die Anti-Malware-Systeme betonen.
• Cryptoknight - Automatisierter kryptografischer Algorithmus Reverse Engineering und Klassifizierungsrahmen.
• DC3 -MWCP - Das Malware -Konfiguration des Defense Cyber ​​Crime Center.
• FLARE VM - Eine vollständig anpassbare, Windows -basierte Sicherheitsverteilung für die Malware -Analyse.
• MALSPLOITBASE - Eine Datenbank mit von Malware verwendet Exploits.
• Malware Museum - Sammlung von Malware -Programmen, die in den 1980er und 1990er Jahren verteilt wurden.
• Malware Organizer - Ein einfaches Tool, um große bösartige/gutartige Dateien in einer organisierten Struktur zu organisieren.
• PAFISH - Paranoid Fish, ein Demonstrationstool, das verschiedene Techniken zum Erkennen von Sandboxen und Analyseumgebungen wie Malware -Familien einsetzt.
• Remnux - Linux -Distributions- und Docker -Bilder für Malware Reverse Engineering und Analyse.
• Tsurugi Linux - Linux -Verteilung, die zur Unterstützung Ihrer DFIR -Untersuchungen, Malware -Analysen und Open -Source -Intelligenz) entwickelt wurde.
• Santoku Linux - Linux -Verteilung für mobile Forensik, Malwareanalyse und Sicherheit.

Essential Malware -Analyse Lesematerial.

• Lernmalwareanalyse - Lernmalwareanalyse: Erforschen Sie die Konzepte, Tools und Techniken, um Windows Malware zu analuzieren und zu untersuchen
• Kochbuch und DVD des Malware -Analysten - Tools und Techniken zum Kampf gegen böswilligen Code.
• Mastering Malware -Analyse - Mastering Malware -Analyse: Der Leitfaden des vollständigen Malware -Analysten zur Bekämpfung von böswilligen Software, APT, Cybercime und IoT -Angriffen
• Mastering Reverse Engineering - Mastering Reverse Engineering: Neuiniesiver Ihre ethischen Hacking -Fähigkeiten neu konventionieren
• Praktische Malware -Analyse - Der praktische Leitfaden zur Präparation bösartiger Software.
• Praktische Reverse Engineering - Intermediate Reverse Engineering.
• Real Digital Forensics - Computersicherheit und Vorfallreaktion.
• Rootkits und Bootkits - Rootkits und Bootkits: Umkehrung der Bedrohungen der modernen Malware und der nächsten Generation
• Die Kunst der Speicher -Forensik - Erkennung von Malware und Bedrohungen in Windows, Linux und Mac -Speicher.
• The Ida Pro Book - Der inoffizielle Leitfaden zum beliebtesten Disassembler der Welt.
• The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
• Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• Malicious Software - Malware blog and resources by Lenny Zeltser.
• Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• Windows Registry specification - Windows registry file format specification.
• /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
• /r/Malware - The malware subreddit.
• /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• Android Security
• AppSec
• CTFs
• Executable Packing
• Forensics
• "Hacking"
• Honeypots
• Industrial Control System Security
• Incident-Response
• Infosec
• PCAP Tools
• Pentesting
• Sicherheit
• Threat Intelligence
• YARA

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Danke!