awesome malware analysis

Una lista curada de impresionantes herramientas y recursos de análisis de malware. Inspirado por Awesome-Python e Awesome-PHP.

• Colección de malware
  • Anónimos
  • Honeypots
  • Corporativos de malware
• Inteligencia de amenazas de código abierto
  • Herramientas
  • Otros recursos
• Detección y clasificación
• Escáneres y cajas de arena en línea
• Análisis de dominio
• Malware del navegador
• Documentos y shellcode
• Talla de archivos
• Desobfuscación
• Ingeniería de depuración e inversa
• Red
• Forense de memoria
• Artefactos de Windows
• Almacenamiento y flujo de trabajo
• Misceláneas
• Recursos
  • Libros
  • Otro
• Listas impresionantes relacionadas
• Que contribuye
• Gracias

Ver traducción al chino: 恶意软件分析大合集 ​​.md.

Anonimizadores de tráfico web para analistas.

• Anonymouse.org: un anonimizador gratuito basado en la web.
• OpenVPN - Software VPN y soluciones de alojamiento.
• Privoxy: un servidor proxy de código abierto con algunas características de privacidad.
• Tor: el enrutador de cebolla, para navegar por la web sin dejar rastros de la IP del cliente.

Trampa y recoge tus propias muestras.

• Conpot - ICS/Scada Honeypot.
• Cowrie - SSH Honeypot, basado en Kippo.
• Demohunter - Honeypots distribuidos de baja interacción.
• Dionaea - Honeypot diseñado para atrapar malware.
• GLASTOPF - Aplicación web Honeypot.
• Honeyd: crea una Honeynet virtual.
• Honeydrive - Honeypot Bundle Linux Distro.
• HoneyTrap - Sistema OpenSource para ejecutar, monitorear y administrar honeypots.
• MHN - MHN es un servidor centralizado para la administración y la recopilación de datos de honeypots. MHN le permite implementar sensores rápidamente y recopilar datos de inmediato, visible desde una interfaz web ordenada.
• Mnemosyne: un normalizador para datos de honeypot; Apoya a Dionaea.
• Thug - Honeyclient de baja interacción, para investigar sitios web maliciosos.

Muestras de malware recolectadas para análisis.

• Clean MX - Base de datos en tiempo real de malware y dominios maliciosos.
• Contagio: una colección de muestras y análisis de malware recientes.
• Explotación de la base de datos: muestras de exploit y shellcode.
• Infosec - Cert -PA - Colección y análisis de muestras de malware.
• Laboratorios de investigación: Corpus de búsqueda en constante certificación de documentos maliciosos de Microsoft.
• Colección de mallware de JavaScript - Colección de casi 40,000 muestras de malware JavaScript
• Malpedia: un recurso que proporciona una identificación rápida y un contexto procesable para las investigaciones de malware.
• Malshare - Gran depósito de malware desechado activamente de sitios maliciosos.
• Ragpicker: rastreador de malware basado en complementos con preanálisis y funcionalidades de informes
• Thhezoo - Muestras de malware en vivo para analistas.
• Tracker H3X - Agregador para Malware Corpus Tracker y sitios de descarga maliciosa.
• VDUDDU Repo de malware: recopilación de varios archivos de malware y código fuente.
• Virusbay - Repositorio de malware y red social basada en la comunidad.
• Virusign - Base de datos de malware que detectó muchos programas anti -malware excepto clamav.
• Virusshare - Repositorio de malware, requerido registro.
• VX Vault - Colección activa de muestras de malware.
• Fuentes de Zeltser: una lista de fuentes de muestra de malware reunidas por Lenny Zeltser.
• Código fuente de ZEUS: fuente del troyano Zeus filtrado en 2011.
• VX Underground: colección masiva y creciente de muestras de malware gratuitas.

Cosecha y analice los COI.

• Abuso Helper: un marco de código abierto para recibir y redistribuir los alimentos de abuso y la amenaza Intel.
• AlienVault Open Amenazing Exchange: compartir y colaborar en el desarrollo de la inteligencia de amenazas.
• Combine - Herramienta para recopilar indicadores de inteligencia de amenazas de fuentes disponibles públicamente.
• FileIntel: extraiga inteligencia por archivo hash.
• HostIntel - Pull Intelligence por host.
• IntelMQ: una herramienta para certificaciones para procesar datos de incidentes utilizando una cola de mensajes.
• Editor del IOC: un editor gratuito para archivos IOC XML.
• IOCEXTRACTION - Indicador avanzado del extractor de compromiso (COI), biblioteca de Python y herramienta de línea de comandos.
• IOC_Writer - Biblioteca Python para trabajar con objetos OpenIOC, de Mandiant.
• Malpipe - Motor de ingestión y procesamiento de malware/COI, que enriquece los datos recopilados.
• Spice Octo masivo: anteriormente conocida como CIF (Marco de inteligencia colectiva). Agregue los COI de varias listas. Comisariada por la Fundación CSIRT Gadgets.
• MISP - Plataforma de intercambio de información de malware curada por el proyecto MISP.
• PULSEDIVE: plataforma de inteligencia de amenazas gratuita, impulsada por la comunidad, recolectando COI a partir de alimentos de código abierto.
• Pyioce: un editor de Python Openioc.
• RiskIQ - Investigación, conexión, etiqueta y comparte IPS y dominios. (Era pasivetotal).
• amenazaggregator: agregue las amenazas de seguridad de varias fuentes, incluidas algunas de las que se enumeran a continuación en otros recursos.
• Amenazconnect: TC Open le permite ver y compartir datos de amenazas de código abierto, con soporte y validación de nuestra comunidad gratuita.
• AmenazeCrowd: un motor de búsqueda para amenazas, con visualización gráfica.
• Menor amenazante: construya el abastecimiento de tuberías Intel de amenaza automatizada desde Twitter, RSS, GitHub y más.
• Amenaztracker: un script de Python para monitorear y generar alertas basadas en los COI indexados por un conjunto de motores de búsqueda personalizados de Google.
• TIQ -TEST - Visualización de datos y análisis estadístico de alimentos de inteligencia de amenazas.

Inteligencia de amenazas y recursos del COI.

• AUTOSHUN (LIST) - complemento Snort y lista de bloques.
• Bambenek Consulting Feeds - Osint Feeds basados ​​en algoritmos DGA maliciosos.
• Fidelis Barncat: una amplia base de datos de configuración de malware (debe solicitar acceso).
• CI Ejército (Lista) - Listas de bloques de seguridad de red.
• Pila crítica: mercado de Intel gratuito: agregador Intel gratuito con deduplicación con más de 90 alimentos y más de 1,2 millones de indicadores.
• Tracker de cibercrimen: rastreador activo de múltiples botnet.
• FireEye IOC: indicadores de compromiso compartidos públicamente por FireEye.
• Listas de IP de Firehol: análisis para más de 350 listas de IP con un enfoque en ataques, malware y abuso. Evolución, cambios de historia, mapas de países, edad de IPS enumerados, política de retención, superposiciones.
• HoneyDB - Recopilación y agregación de datos del sensor Honeypot impulsado por la comunidad.
• HPFeeds - Protocolo de alimentación de honeypot.
• Infosec - Listas de Cert -PA (IPS - Dominios - URLS) - Servicio de lista de bloques.
• Investigación REPDB - Agregación continua de COI de una variedad de fuentes de reputación abierta.
• Investigación IOCDB - Agregación continua de COI de una variedad de blogs, repositorios de GitHub y Twitter.
• Internet Storm Center (Dshield) - Base de datos de incidentes diarios y de búsqueda, con una API web. (Biblioteca no oficial de Python).
• MALC0DE - Base de datos de incidentes de búsqueda.
• Lista de dominio de malware: busque y comparte URL maliciosas.
• Metadefender Amenazing Intelligence Feed: lista de los hashes de archivo más buscados de MetadeFender Cloud.
• OpenIOC - Marco para compartir la inteligencia de amenazas.
• Inteligencia de amenazas de prueba de punto: conjuntos de reglas y más. (Anteriormente amenazas emergentes).
• Descripción general del ransomware: una lista de descripción general de ransomware con detalles, detección y prevención.
• STIX - Expresión de información de amenaza estructurada: lenguaje estandarizado para representar y compartir información de amenazas cibernéticas. Esfuerzos relacionados de Mitre:
  • CAPEC - Enumeración y clasificación del patrón de ataque común
  • Cybox - expresión de ciber observables
  • MAEC - Enumeración y caracterización de atributos de malware
  • Taxii: intercambio automatizado de información indicadora
• SystemlookUp: Systemlookup aloja una colección de listas que proporcionan información sobre los componentes de los programas legítimos y potencialmente no deseados.
• Amenazas - portal de minería de datos para inteligencia de amenazas, con búsqueda.
• Threatrecon: busque indicadores, hasta 1000 gratis por mes.
• Amenazshare - rastreador del panel C2
• Reglas de Yara - Repositorio de reglas de Yara.
• Yeti - Yeti es una plataforma destinada a organizar observables, indicadores de compromiso, TTP y conocimiento sobre amenazas en un solo repositorio unificado.
• Zeus Tracker - Zeus Blocklists.

Antivirus y otras herramientas de identificación de malware

• Analzepe: envoltura para una variedad de herramientas para informar sobre los archivos de Windows PE.
• EnsambleyLine: un sistema de análisis de triaje y malware escalable que integra las mejores herramientas de la comunidad de seguridad cibernética.
• Binaryalert: una tubería AWS de código abierto, sin servidor que escanea y alerta sobre archivos cargados basados ​​en un conjunto de reglas de Yara.
• CAPA: detecta capacidades en archivos ejecutables.
• CHKROOTKIT - Detección local de RootKit de Linux.
• CLAMAV - Motor antivirus de código abierto.
• Detectarlo fácil (morir): un programa para determinar tipos de archivos.
• Exeinfo PE - Packer, Detector de compresor, Información de desempaquetado, herramientas EXE internas.
• ExifTool - Leer, escribir y editar metadatos del archivo.
• Marco de escaneo de archivos: solución modular y recursiva de escaneo de archivos.
• FN2YARA - FN2YARA es una herramienta para generar firmas de Yara para las funciones coincidentes (código) en un programa ejecutable.
• Parser de archivo genérico: un analizador de biblioteca único para extraer meta información, análisis estático y detectar macros dentro de los archivos.
• Hashdeep: calcule los hashes de resumen con una variedad de algoritmos.
• Hashcheck: extensión de shell de Windows para calcular hashes con una variedad de algoritmos.
• LOKI - Escáner basado en huésped para COI.
• Malfunción: catálogo y compare el malware a nivel de función.
• Manalyze - Analizador estático para ejecutables de PE.
• Mastín - Marco de análisis estático.
• MultisCanner - Marco de análisis/análisis de archivos modulares
• Detector de archivos NAUZ (NFD) - Detector de enlace/compilador/herramientas para Windows, Linux y MacOS.
• NSRLLOOKUP: una herramienta para buscar hashes en la base de datos de la biblioteca de referencia de software nacional de NIST.
• Packerid: una alternativa de Python multiplataforma a PEID.
• PE -Bear - Herramienta de inversión para archivos PE.
• PEFRAME - PEFRAME es una herramienta de código abierto para realizar un análisis estático en malware ejecutable portátil y documentos maliciosos de la oficina de MS.
• PEV: un conjunto de herramientas multiplataforma para funcionar con archivos PE, proporcionando herramientas ricas en características para un análisis adecuado de binarios sospechosos.
• PORTEX - Biblioteca Java para analizar archivos PE con un enfoque especial en el análisis de malware y la robustez de la malformación de PE.
• Engine de quark: un sistema de puntuación de malware Android de obfusco-neglección
• Rootkit Hunter - Detectar Linux RootKits.
• SSDEEP - Calcule los hashes difusos.
• Totalhash.py - Script de Python para una fácil búsqueda de la base de datos totalhash.cymru.com.
• TRID - Identificador de archivo.
• Yara - Herramienta de coincidencia de patrones para analistas.
• Generador de reglas de Yara: genere reglas Yara basadas en un conjunto de muestras de malware. También contiene una buena cadena DB para evitar falsos positivos.
• Yara Finder: una herramienta simple para que Yara coincida con el archivo con varias reglas de Yara para encontrar los indicadores de sospecha.

Escáneres múltiples basados ​​en la web y sandboxes de malware para análisis automatizado.

• Anlyz.io - Sandbox en línea.
• Any.run - Sandbox interactivo en línea.
• Andrototal: análisis gratuito en línea de APK en múltiples aplicaciones antivirus móviles.
• BOOMBOX - Implementación automática de Cuckoo Sandbox Malware Lab usando Packer y Vagrant.
• Cryptam - Analice documentos de oficina sospechosos.
• Cuckoo Sandbox: código abierto, sandbox egoísta y sistema de análisis automatizado.
• Cuco -modificado: la versión modificada de Cuckoo Sandbox lanzada bajo el GPL. No se fusionó aguas arriba debido a preocupaciones legales por parte del autor.
• Cuco-modificado-API: una API de Python utilizada para controlar una caja de arena modificada por cuco.
• DeepViz-Analizador de archivos multi-formato con clasificación de aprendizaje automático.
• Detux: una caja de arena desarrollada para realizar un análisis de tráfico de Linux Malwares y capturando los COI.
• Drakvuf - Sistema de análisis dinámico de malware.
• FileScan.io - Análisis de malware estático, emulación VBA/PowerShell/VBS/JS
• Firmware.re - Desempaquetes, escaneos y analiza casi cualquier paquete de firmware.
• Habomalhunter: una herramienta de análisis de malware automatizada para archivos Linux ELF.
• Análisis híbrido: herramienta de análisis de malware en línea, alimentada por VXSandbox.
• Intezer: detectar, analizar y clasificar malware identificando la reutilización del código y las similitudes de código.
• IRMA: una plataforma de análisis asíncrono y personalizable para archivos sospechosos.
• Joe Sandbox - Análisis de malware profundo con Joe Sandbox.
• Jotti - Escáner gratuito de AV en línea.
• Limon - Sandbox para analizar el malware Linux.
• Malheur - Análisis automático de sandboxed del comportamiento de malware.
• Malice.io - Marco de análisis de malware masivamente escalable.
• Malsub: un marco de API RESTful de Python para servicios de análisis de malware en línea y análisis de URL.
• Configuración de malware: extraiga, decodifique y muestre en línea la configuración de configuración de Malwares comunes.
• Malwareanalyser.io - Analizador estático basado en anomalías en línea en línea con motor de detección heurística alimentado por minería de datos y aprendizaje automático.
• MALWR - Análisis gratuito con una instancia de cuco sandbox en línea.
• Metadefender Cloud: escanee un archivo, hash, IP, URL o dirección de dominio para malware de forma gratuita.
• NetworkTotal: un servicio que analiza los archivos PCAP y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware que usa Suricata configurado con emergingthreats Pro.
• Noriben: utiliza Sysinternals Procmon para recopilar información sobre malware en un entorno de sandboxed.
• PacketTotal - PacketTotal es un motor en línea para analizar archivos .pcap y visualizar el tráfico de red dentro.
• PDF Examiner: analice archivos PDF sospechosos.
• PROCDOT - Un kit de herramientas de análisis de malware gráfico.
• Recompuesto: un script de ayuda para cargar de forma segura binarios en sitios de sandbox.
• Sandboxapi - Biblioteca de Python para construir integraciones con varias cajas de land de malware comerciales y de código abierto.
• Ver - El entorno de ejecución de sandboxed (ver) es un marco para la automatización de pruebas de construcción en entornos seguros.
• Análisis de gotero de Sekoia - Análisis de gotero en línea (JS, VBScript, Microsoft Office, PDF).
• Virustotal: análisis en línea gratuito de muestras de malware y URL
• Visualize_logs: la biblioteca de visualización de código abierto y las herramientas de línea de comandos para registros. (Cuco, Procmon, más por venir ...)
• Lista de Zeltser: sandboxes y servicios automatizados gratuitos, compilados por Lenny Zeltser.

Inspeccionar dominios y direcciones IP.

• AbuseIPDB - AbuseIPDB es un proyecto dedicado a ayudar a combatir la propagación de piratas informáticos, spammers y actividades abusivas en Internet.
• Badips.com - Servicio de lista negra IP basado en la comunidad.
• Boomerang: una herramienta diseñada para una captura consistente y segura de los recursos web fuera de la red.
• Cymon - Tracker de inteligencia de amenazas, con búsqueda IP/dominio/hash.
• Desenmascara.me: herramienta de un clic para recuperar la mayor cantidad de metadatos posible para un sitio web y para evaluar su buena posición.
• DIG - Dig en línea gratuita y otras herramientas de red.
• DNSTWIST - Motor de permutación de nombre de dominio para detectar un error tipográfico, phishing y espionaje corporativo.
• IPINFO: recopile información sobre una IP o dominio buscando recursos en línea.
• Machinae - Herramienta OSINT para recopilar información sobre URL, IPS o hashes. Similar al Automator.
• MailChecker - Biblioteca de detección temporal de correo electrónico temporal cruzada.
• Maltegovt - Transformación de Maltego para la API virustotal. Permite la investigación de dominio/IP, y la búsqueda de informes de hashs y escaneo de archivos.
• Multi RBL: múltiples Listas DNS DNS y delantera Se confirma la búsqueda de DNS inversa en más de 300 RBL.
• Servicios de Normshield: servicios API gratuitos para detectar posibles dominios de phishing, direcciones IP con lista negra y cuentas violadas.
• Phishstats - Estadísticas de phishing con búsqueda de IP, dominio y sitio web
• Spyse - Subdominios, Whois, dominios realizados, DNS, anfitriones como, SSL/TLS Info,
• SecurityTrails: Whois históricos y actuales, registros DNS históricos y actuales, dominios similares, información de certificados y otras API y herramientas relacionadas con el dominio y IP.
• SPAMCOP - Lista de bloques de spam basado en IP.
• Spamhaus - Lista de bloques basada en dominios e IP.
• Sucuri Sitecheck - Malware del sitio web gratuito y escáner de seguridad.
• Talos Intelligence - Búsqueda de IP, dominio o propietario de la red. (Anteriormente SenderBase.)
• TEKDEFENSE AUTOR - OSINT Tool para recopilar información sobre URL, IPS o hashes.
• Urlhaus: un proyecto de abuso. CH con el objetivo de compartir URL maliciosas que se están utilizando para la distribución de malware.
• UrlQuery - escáner de URL gratis.
• URLSCAN.IO - Información gratuita de escáner y dominio de URL.
• WHOIS - DOMAINTOOLS GRATUITO en línea Whois Search.
• Lista de Zeltser: herramientas en línea gratuitas para investigar sitios web maliciosos, compilados por Lenny Zeltser.
• Zscalar Zulu - Analizador de riesgos de URL Zulu.

Analizar URL maliciosas. Consulte también el análisis de dominio y los documentos y las secciones de shellcode.

• Visor de Bytecode: combina múltiples espectadores y descompiladores de Bytecode Java en una herramienta, incluido el soporte APK/DEX.
• Firebug - Extensión Firefox para el desarrollo web.
• Descompilador de Java - Descompilar e inspeccionar aplicaciones Java.
• Java IDX Parser - Parses Archivos de caché Java IDX.
• JSDETOX - Herramienta de análisis de malware JavaScript.
• JSUNPACK -N - Un desempaquador de JavaScript que emula la funcionalidad del navegador.
• Krakatau - Java Decompiler, Assembler y Desmombler.
• Malzilla - Analizar páginas web maliciosas.
• Rabcdasm: un "desape de bytecode de ActionScript robusto".
• Investigador SWF - Análisis estático y dinámico de aplicaciones SWF.
• SWFTOOLS - Herramientas para trabajar con archivos Adobe Flash.
• XXXSWF - Un script de Python para analizar archivos flash.

Analice JS y SHellcode maliciosos de PDFS y documentos de la oficina. Consulte también la sección de malware del navegador.

• AnalyzepDF: una herramienta para analizar PDF e intentar determinar si son maliciosos.
• Box -JS: una herramienta para estudiar malware JavaScript, con soporte JScript/WScript y emulación ActiveX.
• Distorm - Desensamblador para analizar el código de concha malicioso.
• Inspección de archivos profundos de investigación: cargue señuelos de malware comunes para la inspección de archivos profundos y el análisis heurístico.
• JS Beautifier - JavaScript Desempacking y Deobfuscation.
• Libemu - Biblioteca y herramientas para la emulación de shellcode x86.
• Malpdfobj - Deconstruya PDF maliciosos en una representación JSON.
• OfficeMalscanner: escanee las trazas maliciosas en los documentos de la oficina de la Sra.
• OLEVBA: un script para analizar los documentos OLE y OpenXML y extraer información útil.
• Origami PDF: una herramienta para analizar PDF maliciosos y más.
• Herramientas PDF: PDFID, PDF -Parser y más de Didier Stevens.
• PDF X-Ray Lite: una herramienta de análisis PDF, la versión sin backend de PDF X-Ray.
• PEEPDF - Herramienta Python para explorar PDF posiblemente maliciosos.
• Quicksand - Quicksand es un marco compacto C para analizar documentos de malware sospechosos para identificar exploits en flujos de diferentes codificaciones y para localizar y extraer ejecutables integrados.
• Spidermonkey: el motor JavaScript de Mozilla, para depurar JS malicioso.

Para extraer archivos de imágenes de disco y memoria interna.

• Bulk_extractor - Herramienta de talla de archivos rápidos.
• EVTXTRACTION - TALLAR ARCHIVOS DE REGISTRO DE EVENTO DE WINDOWS DE LOS DATOS BINARIOS RAW.
• Foremost - Herramienta de talla de archivos diseñada por la Fuerza Aérea de EE. UU.
• HACHOIR3 - Hachoir es una biblioteca de Python para ver y editar un campo de flujo binario por campo.
• Badpel: otra herramienta de talla de datos.
• Sflock - Extracción de archivo anidado/desempaquetado (utilizado en Cuckoo Sandbox).

Reverse XOR y otros métodos de ofuscación de código.

• Balbuzard: una herramienta de análisis de malware para revertir la ofuscación (XOR, ROL, etc.) y más.
• DE4DOT - .NET DEOBFUSCATOR Y DESPACA.
• ex_pe_xor & iheartxor - Dos herramientas de Alexander Hanel para trabajar con archivos codificados XOR de un solo byte.
• FLOSS: el solucionador de cadenas de FireEye Labs ofuscado utiliza técnicas avanzadas de análisis estático para desobfuscar automáticamente las cuerdas de los binarios de malware.
• Nomorexor - Adivina una clave de 256 bytes XOR usando análisis de frecuencia.
• PackerAttacker: un extractor de código oculto genérico para malware de Windows.
• Pyinstaller Extractor: un script de Python para extraer el contenido de un archivo ejecutable de Windows generado por Pyinstaller. El contenido del archivo PYZ (generalmente archivos PYC) presente dentro del ejecutable también se extrae y se soluciona automáticamente para que un descompilador de bytecode de Python lo reconozca.
• Uncompyle6 - Un descompilador de bytecode de Python cruzado. Traduce el bytecodo de Python nuevamente en un código fuente de Python equivalente.
• Un {I} Packer - Desempaquetador automático e independiente de la plataforma para binarios de Windows basado en la emulación.
• Desempaquetador - Desempaquetador de malware automatizado para malware de Windows basado en WinAppdbg.
• UNXOR - Supongo que las teclas XOR utilizan ataques conocidos -creadores.
• VirtualDeobFuscator - Herramienta de ingeniería inversa para envoltorios de virtualización.
• XorbruteForcer: un guión de Python para las teclas XOR de un solo byte.
• XorSearch & XorStrings: un par de programas de Didier Stevens para encontrar datos Xored.
• Xortool - Adivina la longitud de la tecla XOR, así como la tecla en sí.

Los desarmados, los depugadores y otras herramientas de análisis estáticas y dinámicas.

• ANGR - Marco de análisis binario agnóstico de plataforma desarrollado en SECLAB de UCSB.
• BAMFDETECT: identifica y extrae información de bots y otros malware.
• BAP - Marco de análisis binario multiplataforma y de código abierto (MIT) desarrollado en Cylab de CMU.
• BARF: multiplataforma, análisis binario de código abierto y marco de ingeniería inversa.
• Binnavi - Análisis binario IDE para ingeniería inversa basada en la visualización de gráficos.
• Ninja binario: una plataforma de ingeniería de inversión que es una alternativa a la IDA.
• Binwalk - Herramienta de análisis de firmware.
• Bluepill: marco para ejecutar y depurar malware evasivo y ejecutables protegidos.
• Capstone: marco de desmontaje para el análisis binario y la inversión, con soporte para muchas arquitecturas y enlaces en varios idiomas.
• CodeBro: navegador de código basado en la web que usa CLANG para proporcionar un análisis básico de código.
• Cutter - GUI para radare2.
• Decaf (marco de análisis de código ejecutable dinámico): una plataforma de análisis binario basada en QEMU. DroidScope ahora es una extensión de descafeinado.
• DNSPY - .NET EDITOR DE ENSAMBLEACIÓN, DECOMPILER Y DEBUGGER.
• DOTPEEK - BROWSER DE DECOMPILER Y ENSAMBLEA .NET gratuito.
• Evan's Depugger (EDB) - Un depurador modular con una GUI QT.
• Fibratus: herramienta para la exploración y el rastreo del núcleo de Windows.
• FPORT - informa abrir los puertos TCP/IP y UDP en un sistema en vivo y los asigna a la aplicación de propiedad.
• GDB - El depurador GNU.
• GEF - Características mejoradas de GDB, para explotadores e ingenieros inversos.
• GHIDRA - Un marco de Ingeniería Inversa de Software (SRE) creado y mantenido por la Dirección de Investigación de la Agencia de Seguridad Nacional.
• Hackers -Grep: una utilidad para buscar cadenas en ejecutables de PE que incluyen importaciones, exportaciones y símbolos de depuración.
• Hopper - The MacOS y Linux Dissembler.
• IDA Pro - Windows Dissembler and Debugger, con una versión de evaluación gratuita.
• IDR - Interactive Delphi Reconstructor es un descompilador de archivos ejecutables de Delphi y bibliotecas dinámicas.
• Inmunity Debugger - Debugger para análisis de malware y más, con una API de Python.
• ILSPY - ILSPY es el navegador de ensamblaje .NET de código abierto y el descompilador.
• Kaitai Struct - DSL para formatos de archivo / protocolos de red / estructuras de datos Ingeniería y disección inversa, con generación de código para C ++, C#, Java, JavaScript, Perl, PHP, Python, Ruby.
• Lief - Lief proporciona una biblioteca multiplataforma para analizar, modificar y abstracto de formatos ELF, PE y MOCHO.
• LTRACE - Análisis dinámico para ejecutables de Linux.
• Mac-A-Mal: un marco automatizado para la caza de malware MAC.
• Objdump - Parte de los binutilos GNU, para el análisis estático de los binarios de Linux.
• OllyDBG: un depurador de nivel de ensamblaje para ejecutables de Windows.
• Ollydumpex - Descargar la memoria del proceso de Windows de malware (desempaquetado) y almacenar el archivo PE RAW o reconstruir. Este es un complemento para Ollydbg, Immunity Debugger, IDA Pro, WindBG y X64DBG.
• Panda - Plataforma para análisis dinámico neutral en arquitectura.
• PEDA - Asistencia de desarrollo de explotación de Python para GDB, una pantalla mejorada con comandos agregados.
• Pestudio - Realice un análisis estático de ejecutables de Windows.
• PHAROS: el marco de análisis binario de Pharos se puede utilizar para realizar un análisis estático automatizado de binarios.
• Plasma - Desmontivo interactivo para X86/ARM/MIPS.
• PPEE (Puppy): un explorador profesional de archivos PE para reversiones, investigadores de malware y aquellos que desean inspeccionar estáticamente los archivos PE con más detalle.
• Process Explorer - Administrador de tareas avanzados para Windows.
• Hacker de procesos: herramienta que monitorea los recursos del sistema.
• Monitor de proceso: herramienta de monitoreo avanzado para programas de Windows.
• PSTOOLS - Herramientas de línea de comandos de Windows que ayudan a administrar e investigar los sistemas en vivo.
• Pyew - Herramienta Python para el análisis de malware.
• PyreBox - Python Scriptable Inview Engineering Sandbox por el equipo de Talos en Cisco.
• Marco Qiling - Marco de emulación de plataforma cruzada y Sanboxing con instrumentos para el análisis binario.
• QKD - QEMU con servidor WindBG integrado para la depuración sigilosa.
• RADARE2 - Marco de ingeniería inversa, con soporte de depuradores.
• RegShot - Registro Compare la utilidad que compara las instantáneas.
• RETDEC - Descompilador de código de máquina retargetable con un servicio de descompilación en línea y una API que puede usar en sus herramientas.
• Ropmemu: un marco para analizar, diseccionar y descompilar ataques complejos de reutilización de código.
• Scylla Importa Reconstructor: encuentre y repare el IAT de un malware PE32 desactivado / arrojado.
• Scyllahide: una biblioteca y complemento anti-anti-debug para Ollydbg, X64DBG, Ida Pro y TitanEngine.
• SMRT - Herramienta de investigación de malware sublime, un complemento para Sublime 3 para ayudar con Malware Analyis.
• Strace - Análisis dinámico para ejecutables de Linux.
• Stringsifter: una herramienta de aprendizaje automático que clasifica automáticamente las cadenas en función de su relevancia para el análisis de malware.
• Triton - Un marco de análisis binario dinámico (DBA).
• UDIS86 - Biblioteca y herramienta de desmoronamiento para x86 y x86_64.
• Vivisect - Herramienta Python para el análisis de malware.
• WindBG: depurador multipropósito para el sistema operativo de computadora de Microsoft Windows, utilizado para depurar aplicaciones de modo de usuario, controladores de dispositivos y los volcados de memoria en modo kernel.
• X64DBG: un depurador de código abierto x64/x32 para Windows.

Analizar las interacciones de red.

• Bro - Analizador de protocolo que funciona a escala increíble; Tanto los protocolos de archivo como de red.
• Broyara - Usa las reglas de Yara de Bro.
• CAPTIPPER - Explorador de tráfico HTTP malicioso.
• Chophop - Análisis de protocolos y marco de decodificación.
• CloudShark: herramienta basada en la web para análisis de paquetes y detección de tráfico de malware.
• FAKINET -NG - Herramienta de análisis de red dinámica de próxima generación.
• FIDDLER - Interceptando proxy web diseñado para "depuración web".
• Hale - Botnet C&C Monitor.
• Haka: un lenguaje orientado a la seguridad de código abierto para describir protocolos y aplicar políticas de seguridad sobre el tráfico capturado (en vivo).
• HttPreplay: biblioteca para analizar y leer archivos PCAP, incluidas las transmisiones TLS utilizando TLS Master Secrets (utilizado en Cuckoo Sandbox).
• INETSIM - Emulación del servicio de red, útil al construir un laboratorio de malware.
• LAIKA BOSS - Laika Boss es un sistema de análisis de malware y detección de intrusos centrados en el archivo.
• MALCOLM - MALCOLM es un conjunto de herramientas de análisis de tráfico de red potentes y fácilmente desplegables para artefactos completos de captura de paquetes (archivos PCAP) y registros de Zeek.
• Malcom - Analizador de comunicaciones de malware.
• MALTRAIL: un sistema de detección de tráfico malicioso, que utiliza listas disponibles públicamente (negros) que contienen senderos maliciosos y/o generalmente sospechosos y con una interfaz de informes y análisis.
• MITMPROXY - Tráfico de red de intercepción sobre la marcha.
• Moloch - Sistema de captura de tráfico IPv4, indexación y base de datos.
• NetworkMiner - Herramienta de análisis forense de red, con una versión gratuita.
• NGREP: busque a través del tráfico de red como GREP.
• PCAPVIZ - Topología de red y visualizador de tráfico.
• Python ICAP Yara: un servidor ICAP con el escáner Yara para URL o contenido.
• SquidMagic: SquidMagic es una herramienta diseñada para analizar un tráfico de red basado en la web para detectar servidores de comando y control central (C&C) y sitios maliciosos, utilizando Squid Proxy Server y Spamhaus.
• Tcpdump - recopilar tráfico de red.
• TCPICK - Trach y reensamblar las transmisiones TCP desde el tráfico de la red.
• TCPXtract: extraiga archivos del tráfico de red.
• Wireshark: la herramienta de análisis de tráfico de red.

Herramientas para diseccionar malware en imágenes de memoria o sistemas en ejecución.

• Blacklight: cliente de Windows/MacOS Forensics que admite HiberFil, PageFile, Análisis de memoria en bruto.
• DAMM - Análisis diferencial de malware en la memoria, basado en la volatilidad.
• EVOLVE - Interfaz web para el marco forense de memoria de volatilidad.
• Findaes: encuentre claves de cifrado AES en la memoria.
• Invero.net: el marco de análisis de memoria de alta velocidad desarrollado en .NET admite todos los Windows X64, incluye integridad de código y soporte de escritura.
• Muninn: un script para automatizar partes de análisis utilizando la volatilidad y crear un informe legible. OROCHI - OROCHI es un marco de código abierto para el análisis colaborativo de volcado de memoria forense.
• Rekall - Marco de análisis de memoria, bifurcado de la volatilidad en 2013.
• TotalRecall - Script basado en la volatilidad para automatizar varias tareas de análisis de malware.
• Voldiff: ejecute la volatilidad en las imágenes de memoria antes y después de la ejecución de malware, y el informe cambia.
• Volatilidad - Marco forense de memoria avanzada.
• Volutilidad - Interfaz web para el marco de análisis de memoria de volatilidad.
• WDBgark - Extensión anti -Rootkit WindBG.
• WindBG - Inspección de memoria en vivo y depuración del núcleo para sistemas Windows.

• Ahoir: un guión de respuesta a incidentes en vivo para recopilar artefactos de Windows.
• Python -EVT - Biblioteca Python para registros de eventos de Windows.
• Python -Registry - Biblioteca de Python para archivos de registro de análisis.
• REVIPPER (GITHUB) - Herramienta de análisis de registro basada en complementos.

• ALEPH - Sistema de tubería de análisis de malware de código abierto.
• Crith - Investigación colaborativa sobre amenazas, un repositorio de malware y amenazas.
• Fama: un marco de análisis de malware con una tubería que se puede extender con módulos personalizados, que pueden encadenar e interactuar entre sí para realizar un análisis de extremo a extremo.
• Malwarehouse: tienda, etiqueta y búsqueda de malware.
• Polichombr: una plataforma de análisis de malware diseñada para ayudar a los analistas a revertir los malwares en colaboración.
• Stoq - Marco de análisis de contenido distribuido con soporte extenso de complementos, desde la entrada hasta la salida y todo lo demás.
• Viper: un marco de gestión y análisis binario para analistas e investigadores.

• Al-Khaser: un malware POC con buenas intenciones que se destacan para estresar los sistemas antimalware.
• Cryptoknight - Algoritmo criptográfico automatizado Ingeniería inversa y marco de clasificación.
• DC3 -MWCP: el marco de configuración de malware del Centro de Crimen Cyber ​​del Defensa.
• Flare VM: una distribución de seguridad totalmente personalizable, basada en Windows para el análisis de malware.
• MalsploitBase: una base de datos que contiene exploits utilizados por malware.
• Museo de malware: colección de programas de malware que se distribuyeron en los años ochenta y noventa.
• Organizador de malware: una herramienta simple para organizar grandes archivos maliciosos/benignos en una estructura organizada.
• Pez - Pescado paranoico, una herramienta de demostración que emplea varias técnicas para detectar sandboxes y entornos de análisis de la misma manera que las familias de malware.
• Remnux - Distribución de Linux e imágenes Docker para ingeniería y análisis inversos de malware.
• Tsurugi Linux - Distribución de Linux diseñada para admitir sus investigaciones DFIR, análisis de malware y actividades de OSINT (inteligencia de código abierto).
• Santoku Linux - Distribución de Linux para forenses móviles, análisis de malware y seguridad.

Análisis de malware esencial Material de lectura.

• Análisis de malware de aprendizaje: Análisis de malware de aprendizaje: explore los conceptos, herramientas y técnicas para analizar e investigar el malware de Windows
• Libro de cocina y DVD del analista de malware: herramientas y técnicas para combatir el código malicioso.
• Mastering de análisis de malware - Análisis de malware de maestría: la guía completa del analista de malware para combatir los ataques de software malicioso, APT, CyberCime e IoT
• Dominar la ingeniería inversa - Mastering Inview Engineering: reingineer sus habilidades de piratería ética
• Análisis práctico de malware: la guía práctica para diseccionar software malicioso.
• Ingeniería inversa práctica - Ingeniería inversa intermedia.
• Forense digital real: seguridad informática y respuesta a incidentes.
• Rootkits and Bootkits - Rootkits and Bootkits: invertir malware moderno y amenazas de próxima generación
• El arte de la memoria forense: detección de malware y amenazas en la memoria de Windows, Linux y Mac.
• The IDA Pro Book: la guía no oficial para el desapsilador más popular del mundo.
• The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
• Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• Malicious Software - Malware blog and resources by Lenny Zeltser.
• Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• Windows Registry specification - Windows registry file format specification.
• /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
• /r/Malware - The malware subreddit.
• /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• Android Security
• AppSec
• CTFs
• Executable Packing
• Forense
• "Seco"
• Honeypots
• Industrial Control System Security
• Incident-Response
• Infosec
• PCAP Tools
• Pentesting
• Seguridad
• Threat Intelligence
• YARA

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

¡Gracias!