awesome malware analysis

Une liste organisée d'outils et de ressources d'analyse de logiciels malveillants impressionnants. Inspiré par un python impressionnant et un php génial.

• Collection de logiciels malveillants
  • Anonymissante
  • Pots de miel
  • Corpus malware
• Intelligence des menaces open source
  • Outils
  • Autres ressources
• Détection et classification
• Scanners en ligne et bacs de sable
• Analyse du domaine
• Malware du navigateur
• Documents et Shellcode
• Sculpture de fichiers
• Désobfuscation
• Débogage et ingénierie inverse
• Réseau
• Mémoire médico-légale
• Artefacts Windows
• Stockage et flux de travail
• Divers
• Ressources
  • Livres
  • Autre
• Listes impressionnantes liées
• Contributif
• Merci

Voir la traduction chinoise: 恶意软件分析大合集 ​​.md.

Anonymismeurs du trafic Web pour les analystes.

• Anonymouse.org - un anonymissateur Web gratuit basé sur le Web.
• OpenVPN - VPN Software and Hosting Solutions.
• Privoxy - un serveur proxy open source avec certaines fonctionnalités de confidentialité.
• Tor - le routeur d'oignon, pour naviguer sur le Web sans laisser de traces de l'IP client.

Pichez et récupérez vos propres échantillons.

• CONPOT - POTE DE MILLE ICS / SCADA.
• Cowrie - Honeypot SSH, basé sur Kippo.
• Demohunter - Papots de miel distribués à faible interaction.
• Dionaea - HoneyPot conçu pour piéger les logiciels malveillants.
• GLASTOPF - HoneyPot d'application Web.
• Honeyd - Créez un miel virtuel.
• Honeydrive - Distro Linux du pack de pot de miel.
• HoneyTrap - Système OpenSource pour l'exécution, la surveillance et la gestion des pots de miel.
• MHN - MHN est un serveur centralisé pour la gestion et la collecte de données de pots de miel. MHN vous permet de déployer rapidement des capteurs et de collecter des données immédiatement, visibles à partir d'une interface Web soignée.
• MNEMOSYNE - Un normalisateur pour les données de la pot de miel; Soutient Dionaea.
• Thug - Honeyclient à faible interaction, pour enquêter sur des sites Web malveillants.

Échantillons de logiciels malveillants collectés pour analyse.

• Clean MX - Base de données en temps réel de logiciels malveillants et de domaines malveillants.
• CONTAGIO - Une collection d'échantillons et d'analyses de logiciels malveillants récents.
• Exploiter la base de données - Échantillons d'exploitation et de shellcode.
• Infosec - CERT-PA - Collection et analyse des échantillons de logiciels malveillants.
• Enquête Labs - Corpus perplexe éternel de documents Microsoft malveillants.
• Collection Javascript Mallware - Collection de près de 40 000 échantillons de logiciels malveillants JavaScript
• MALPEDIA - Une ressource fournissant une identification rapide et un contexte exploitable pour les enquêtes de logiciels malveillants.
• MALSHARE - Le grand référentiel de logiciels malveillants a activement mis au rebut des sites malveillants.
• Ragpicker - Crawler de logiciels malveillants basés sur les plugins avec pré-analyse et fonctionnalités de rapport
• Thezoo - échantillons de logiciels malveillants en direct pour les analystes.
• Tracker H3X - ACGORATEUR POUR MALWARE CORPUS Tracker et sites de téléchargement malveillant.
• Vduddu Malware Repo - Collection de divers fichiers de logiciels malveillants et code source.
• Virusbay - Référentiel de logiciels malveillants communautaires et réseau social.
• Virusign - MALWARE DATABASE qui a détecté par de nombreux programmes anti-malware sauf Clamav.
• Virusshare - Référentiel de logiciels malveillants, enregistrement requis.
• VX Vault - Collection active d'échantillons de logiciels malveillants.
• Sources de Zeltser - Une liste de sources d'échantillons de logiciels malveillants réunis par Lenny Zeltser.
• Code source de Zeus - Source pour le Trojan Zeus a fui en 2011.
• VX Underground - Collection massive et croissante d'échantillons de logiciels malveillants gratuits.

Récolter et analyser les CIO.

• Abushelper - Un cadre open source pour recevoir et redistribuer les aliments pour abus et menacer les informations.
• Alienvault Open Threat Exchange - Partagez et collaborez dans le développement de l'intelligence des menaces.
• Combinez - outil pour rassembler des indicateurs de renseignement sur les menaces provenant de sources accessibles au public.
• FileIntel - Pull Intelligence par fichier hachage.
• Hostintel - Pull Intelligence par hôte.
• IntelMQ - Un outil pour les certificats de traitement des données d'incident à l'aide d'une file d'attente de messages.
• IOC Editor - Un éditeur gratuit pour les fichiers XML IOC.
• IOCEXTRAT - Indicateur avancé de l'extracteur de compromis (CIO), de la bibliothèque Python et de l'outil de ligne de commande.
• IOC_WRITE - Python Library pour travailler avec des objets OpenIOC, de Mandiant.
• Malpipe - moteur d'ingestion et de traitement des logiciels malveillants / CIO, qui enrichit les données collectées.
• Massive Octo Spice - précédemment connu sous le nom de CIF (Collective Intelligence Framework). Agrégats IOC à partir de diverses listes. Organisé par la Fondation CSirt Gadgets.
• MISP - plate-forme de partage d'informations de logiciels malveillants organisée par le projet MISP.
• PulseDive - plate-forme d'intelligence de menace gratuite et axée sur la communauté collectant des IOC à partir de flux open-source.
• Pyioce - un éditeur Python OpenIOC.
• RiskIQ - Recherche, connecter, étiqueter et partager les IP et les domaines. (Était passivétotal.)
• ThreatGregator - regroupe les menaces de sécurité de plusieurs sources, y compris certaines des personnes énumérées ci-dessous dans d'autres ressources.
• ThreatConnect - TC Open vous permet de voir et de partager les données de menace open source, avec le soutien et la validation de notre communauté gratuite.
• ThreatCrowd - Un moteur de recherche pour les menaces, avec visualisation graphique.
• Menacestor - Construire des pipelines Intel de menace automatisées sur Twitter, RSS, GitHub, etc.
• ThreatTracker - Un script Python pour surveiller et générer des alertes basées sur les CIO indexés par un ensemble de moteurs de recherche personnalisés Google.
• TIQ-Test - Visualisation des données et analyse statistique des flux de renseignement des menaces.

Intelligence des menaces et ressources du CIO.

• Autoshun (liste) - SNORT PLUGIN ET BLOCKLIST.
• Bambenek Consulting Feeds - OSINT Feeds basé sur des algorithmes DGA malveillants.
• Fidelis Barncat - base de données de configuration de logiciels malveillants étendus (doit demander l'accès).
• CI Army (List) - Bloclists de sécurité du réseau.
• Critique Stack - Market Intel gratuit - Aggréateur Intel gratuit avec déduplication avec plus de 90 flux et plus de 1,2 million d'indicateurs.
• Cybercrime Tracker - plusieurs tracker actif botnet.
• FireEye IOC - Indicateurs de compromis partagés publiquement par Fireeye.
• Firehol IP Listes - Analytics pour plus de 350 listes de propriété intellectuelle en mettant l'accent sur les attaques, les logiciels malveillants et les abus. L'évolution, les changements d'histoire, les cartes de pays, l'âge des IPs énumérés, la politique de rétention, les chevauche.
• HoneyDB - Collecte et agrégation de données de capteurs de pot de miel conduites par la communauté.
• HPFeeds - Protocole d'alimentation honeypot.
• InfoSec - CERT-PA LISTES (IPS - Domaines - URL) - BlockList Service.
• Enquête REPDB - Aggrégation continue des CIO à partir d'une variété de sources de réputation ouvertes.
• Enquête IOCDB - Agrégation continue des CIO à partir de divers blogs, repos github et Twitter.
• Internet Storm Center (DShield) - Journal et base de données d'incident consultable, avec une API Web. (Bibliothèque non officielle Python).
• MALC0DE - Base de données incidente consultable.
• Liste du domaine des logiciels malveillants - Recherchez et partagez des URL malveillants.
• Metadefender Threat Intelligence Feed - Liste des hachages de fichiers les plus recherchés de Metadefender Cloud.
• OpenIOC - Framework pour le partage de l'intelligence des menaces.
• ProofPoint Menace Intelligence - Règlement et plus encore. (Anciennement des menaces émergentes.)
• Présentation des ransomwares - Une liste des ransomwares avec les détails, la détection et la prévention.
• STIX - Expression des informations sur les menaces structurées - Langage standardisé pour représenter et partager des informations sur la cyber-menace. Efforts connexes de mitre:
  • Capec - Énumération et classification du modèle d'attaque commune
  • Cybox - Expression des cyber observables
  • Maec - Énumération et caractérisation des attributs de logiciels malveillants
  • Taxii - Échange automatisé de confiance d'informations sur les indicateurs
• SystemLookup - Systemlookup héberge une collection de listes qui fournissent des informations sur les composants des programmes légitimes et potentiellement indésirables.
• ThreatMiner - Portail d'exploration de données pour l'intelligence des menaces, avec recherche.
• THERATRECON - Recherchez des indicateurs, jusqu'à 1000 gratuits par mois.
• MenaceShare - C2 Panel Tracker
• Règles Yara - Référentiel de règles Yara.
• Yeti - Yeti est une plate-forme destinée à organiser des observables, des indicateurs de compromis, des TTP et des connaissances sur les menaces dans un seul référentiel unifié.
• Zeus Tracker - Zeus Blocklists.

Antivirus et autres outils d'identification des logiciels malveillants

• Analyzepe - Wrapper pour une variété d'outils pour rendre compte des fichiers Windows PE.
• Assemblyline - Un système d'analyse de triage de fichiers et de logiciels malveillants intégrant les meilleurs outils de la communauté de la cybersécurité.
• BinaryAlert - un pipeline AWS open source sans serveur qui scanne et alerte sur les fichiers téléchargés en fonction d'un ensemble de règles YARA.
• CAPA - détecte les capacités dans les fichiers exécutables.
• Chkrootkit - Détection locale Linux Rootkit.
• Clamav - moteur antivirus open source.
• Détectez-le Easy (Die) - un programme pour déterminer les types de fichiers.
• EXEINFO PE - Packer, détecteur de compresseur, déballage des informations, outils EXE internes.
• EXIFTOOL - Lire, écrire et modifier les métadonnées du fichier.
• Framework de numérisation de fichiers - Solution modulaire de balayage de fichiers récursif.
• FN2YARA - FN2YARA est un outil pour générer des signatures YARA pour les fonctions de correspondance (code) dans un programme exécutable.
• Parser de fichiers génériques - Un analyseur de bibliothèque unique pour extraire les méta-informations, l'analyse statique et détecter les macros dans les fichiers.
• Hashdeep - Compute les hachages de digestion avec une variété d'algorithmes.
• HashCheck - Extension de shell Windows pour calculer les hachages avec une variété d'algorithmes.
• Scanner LOKI - Hôte pour IOC.
• Dysfonctionnement - catalogue et comparez les logiciels malveillants à un niveau de fonction.
• Manalyze - Analyseur statique pour les exécutables PE.
• Mastiff - Cadre d'analyse statique.
• MultiScanner - Framework modular File Scanning / Analysis
• Détecteur de fichiers NAUZ (NFD) - Linker / Compiler / Tool Detector pour Windows, Linux et MacOS.
• NSRLLOOKUP - Un outil pour rechercher des hachages dans la base de données nationale de la bibliothèque de référence des logiciels de NIST.
• Packerid - Une alternative Python multiplateforme à Peid.
• PE-Bear - outil de revers pour les fichiers PE.
• Peframe - Peframe est un outil open source pour effectuer une analyse statique sur les logiciels malveillants exécutables portables et les documents MAL MS Office.
• PEV - Une boîte à outils multiplateforme pour travailler avec les fichiers PE, fournissant des outils riches en fonctionnalités pour une analyse appropriée des binaires suspects.
• Portex - Bibliothèque Java pour analyser les fichiers PE avec un accent particulier sur l'analyse des logiciels malveillants et la robustesse de la malformation PE.
• Quark-moche - un système de notation des logiciels malveillants Android Obfuscation-neglect
• ROOTKIT HUNTER - détecter les rootkits Linux.
• SSDEEP - Calculez des hachages flous.
• TotalHash.py - Script Python pour une recherche facile de la base de données totalehash.cymru.com.
• Trid - Identifiant de fichier.
• Yara - outil de correspondance de motifs pour les analystes.
• Générateur de règles YARA - Générez des règles YARA basées sur un ensemble d'échantillons de logiciels malveillants. Contient également une bonne base de base de données pour éviter les faux positifs.
• Yara Finder - Un outil simple pour Yara correspond au fichier contre diverses règles Yara pour trouver les indicateurs de suspicion.

Des scanners multiples sur le Web et des bacs de sable de logiciels malveillants pour une analyse automatisée.

• anlyz.io - Sandbox en ligne.
• any.run - bac à sable interactif en ligne.
• Andrototal - Analyse en ligne gratuite des APK contre plusieurs applications antivirus mobiles.
• BOOMBOX - Déploiement automatique de Cuckoo Sandbox Malware Lab à l'aide de Packer et Vagrant.
• Cryptam - Analyser les documents de bureau suspects.
• Cuckoo Sandbox - Open Source, Sandbox auto-hébergé et Système d'analyse automatisé.
• CUCKOO-MODIFIED - Version modifiée de Cuckoo Sandbox publiée sous le GPL. Non fusionné en amont en raison de préoccupations juridiques de l'auteur.
• CUCKOO-MODIFIED-API - Une API Python utilisée pour contrôler un bac à sable modifié au coucou.
• Deepviz - Analyseur de fichiers multi-formats avec classification d'apprentissage automatique.
• Detux - Un bac à sable développé pour effectuer une analyse du trafic de Linux Malwares et la capture des CIO.
• Drakvuf - Système d'analyse de logiciels malveillants dynamique.
• FileScan.io - Analyse statique des logiciels malveillants, VBA / PowerShell / VBS / JS Emulation
• firmware.re - déballage, scanne et analyse presque tous les packages de firmware.
• HABOMALHUNTER - Un outil d'analyse de logiciels malveillants automatisés pour les fichiers ELF Linux.
• Analyse hybride - Outil d'analyse de logiciels malveillants en ligne, alimenté par Vxsandbox.
• Intezer - détecter, analyser et catégoriser les logiciels malveillants en identifiant la réutilisation du code et les similitudes de code.
• IRMA - Une plate-forme d'analyse asynchrone et personnalisable pour les fichiers suspects.
• Joe Sandbox - Analyse des logiciels malveillants profonds avec Joe Sandbox.
• Jotti - scanner multi-av en ligne gratuit.
• Limon - Sandbox pour analyser les logiciels malveillants Linux.
• Malêteur - Analyse automatique de sable du comportement des logiciels malveillants.
• Malice.io - Framework d'analyse de logiciels malveillants massivement évolutive.
• Malsub - Un cadre API Python RESTful pour les services de logiciels malveillants en ligne et d'analyse URL.
• Configuration malware - Extraire, décoder et afficher en ligne les paramètres de configuration à partir de Malwares communs.
• Malwareanalyser.io - Analyseur statique basé sur des logiciels malveillants en ligne avec moteur de détection heuristique propulsé par l'exploration de données et l'apprentissage automatique.
• MALWR - Analyse gratuite avec une instance de sandbox de coucou en ligne.
• Metadefender Cloud - Scannez gratuitement un fichier, un hachage, une IP, une URL ou un domaine pour malveiller.
• NetworkTotal - Un service qui analyse les fichiers PCAP et facilite la détection rapide des virus, des vers, des chevaux de Troie et toutes sortes de logiciels malveillants à l'aide de Suricata configurés avec EmergingThareats Pro.
• NORIBEN - utilise Sysinternals ProCmon pour collecter des informations sur les logiciels malveillants dans un environnement sableux.
• Packettotal - Packettotal est un moteur en ligne pour analyser les fichiers .pcap et visualiser le trafic réseau à l'intérieur.
• Examinateur PDF - Analyser les fichiers PDF suspects.
• ProCDOT - Une trousse d'outils d'analyse des logiciels malveillants graphiques.
• Recomposer - Un script d'assistance pour télécharger en toute sécurité les binaires sur des sites de bac à sable.
• Sandboxapi - Python Library pour construire des intégrations avec plusieurs bacs de sable de logiciels malveillants open source et commerciaux.
• Voir - L'environnement d'exécution sandbox (voir) est un cadre pour construire l'automatisation des tests dans des environnements sécurisés.
• Analyse des dropper Sekoia - Analyse des dropper en ligne (JS, VBScript, Microsoft Office, PDF).
• Virustotal - Analyse en ligne gratuite des échantillons de logiciels malveillants et des URL
• Visualize_logs - Bibliothèque de visualisation open source et outils de ligne de commande pour les journaux. (Coucou, procmon, plus à venir ...)
• Liste de Zeltser - Sandbox et services automatisés gratuits, compilé par Lenny Zeltser.

Inspectez les domaines et les adresses IP.

• ABUDEIPDB - ABUSEIPDB est un projet dédié à aider à lutter contre la propagation des pirates, des spammeurs et des activités abusives sur Internet.
• BADIPS.com - Service IP Blacklist basé sur la communauté.
• Boomerang - Un outil conçu pour une capture cohérente et sûre des ressources Web hors réseau.
• Cymon - Tracker de renseignement sur la menace, avec recherche IP / Domain / Hash.
• Desenmascara.me - Un outil de clic pour récupérer autant de métadonnées que possible pour un site Web et pour évaluer sa règle.
• DIG - Dig en ligne gratuite et autres outils réseau.
• DNSTWist - Moteur de permutation de nom de domaine pour détecter la faute de frappe, le phishing et l'espionnage d'entreprise.
• IPINFO - Rassemblez des informations sur une IP ou un domaine en recherchant des ressources en ligne.
• Machinae - outil OSINT pour collecter des informations sur les URL, les IP ou les hachages. Similaire à Automator.
• MailChecker - Bibliothèque de détection de messagerie temporaire inter-langage.
• MALTEGOVT - MALTEGO Transformée pour l'API Virustotal. Permet la recherche sur le domaine / IP et à la recherche de hachages de fichiers et de rapports de numérisation.
• Multi RBL - Liste noire DNS multiple et recherche DNS inversée confirmée sur plus de 300 RBLS.
• Services NormShield - Services API gratuits pour détecter les domaines de phishing possibles, les adresses IP sur liste noire et les comptes violés.
• PhishStats - Statistiques de phishing avec recherche IP, domaine et titre de site Web
• SPYSE - SUBDOMAINS, WHOIS, REALTED DOMAINS, DNS, HOSTS AS, SSL / TLS INFO,
• SecurityTrails - WHOIS historique et actuel, enregistrements DNS historiques et actuels, domaines similaires, informations sur les certificats et autres API et outils liés au domaine et à la propriété intellectuelle.
• Spamcop - Liste de blocs de spam basés sur IP.
• Spamhaus - Liste de blocs basée sur les domaines et les IP.
• SUCURI SITTECKECK - SCALAGE MALWORE ET SÉCURITÉ INDIQUITE GRATUIT.
• Talos Intelligence - Recherchez un propriétaire IP, Domain ou Network. (Auparavant, SenderBase.)
• TEKDEFENSE AUTOMATER - OUTIL OSINT pour collecter des informations sur les URL, les IPS ou les hachages.
• URLHAUS - Un projet de Abuse.CH dans le but de partager des URL malveillantes qui sont utilisées pour la distribution de logiciels malveillants.
• URLQuery - Scanner URL gratuit.
• URLScan.io - Informations gratuites du scanner URL et du domaine.
• Whois - Domaintools gratuitement en ligne Whois Search.
• Liste de Zeltser - Outils en ligne gratuits pour rechercher des sites Web malveillants, compilés par Lenny Zeltser.
• ZSCALAR ZULU - Analyseur de risque URL zoulu.

Analyser les URL malveillantes. Voir également l'analyse du domaine et les documents et les sections de shellcode.

• Visionneuse ByteCode - combine plusieurs visionneuses et décompilateurs Java ByteCode en un seul outil, y compris la prise en charge APK / DEX.
• Firebug - Extension Firefox pour le développement Web.
• Java Decompiler - Décompiler et inspecter les applications Java.
• Parser Java IDX - Parses Fichiers de cache Java IDX.
• JSDETOX - outil d'analyse de logiciels malveillants JavaScript.
• JSUNPACK-N - Un déballage JavaScript qui émule la fonctionnalité du navigateur.
• KRAKATAU - Décompilateur Java, assembleur et désassembleur.
• MALZILLA - Analyser les pages Web malveillantes.
• Rabcdasm - un "Disassembleur bytecode Robust ActionScript."
• Investigateur SWF - Analyse statique et dynamique des applications SWF.
• SWFTOOLS - Outils pour travailler avec Adobe Flash Files.
• XXXSWF - Un script Python pour analyser les fichiers flash.

Analyser les JS malveillants et Shellcode à partir des PDF et des documents de bureau. Voir également la section des logiciels malveillants du navigateur.

• AnalysePDF - Un outil d'analyse des PDF et de tentative de déterminer s'ils sont malveillants.
• BOX-JS - Un outil pour étudier les logiciels malveillants JavaScript, avec une prise en charge JScript / WScript et une émulation ActiveX.
• Distorm - Désassembleur pour analyser le code de coquille malveillante.
• Enquête Inspection du fichier profond - Téléchargez des leurres de logiciels malveillants communs pour l'inspection des fichiers profonds et l'analyse heuristique.
• JS Embellissement - Démontage JavaScript et désobfuscation.
• Libemu - Bibliothèque et outils pour l'émulation de shellcode x86.
• Malpdfobj - déconstruire les PDF malveillants dans une représentation JSON.
• OfficeMalscanner - SCRAY POUR LES TRACHES MALICIEUX DANS LES DOCUMENTS DE BUREAU MS.
• OLEVBA - Un script pour analyser les documents OLE et OpenXML et extraire des informations utiles.
• Origami PDF - Un outil d'analyse des PDF malveillants, et plus encore.
• Outils PDF - PDFID, PDF-PARSER, et plus de Didier Stevens.
• PDF X-RAY LITE - Un outil d'analyse PDF, la version sans backend de la radiographie PDF.
• PEEPDF - outil Python pour explorer des PDF éventuellement malveillants.
• Sands Quicks - Quicks Sand est un cadre C compact pour analyser des documents de logiciels malveillants suspects pour identifier les exploits dans des flux de différents codages et pour localiser et extraire des exécutables embarqués.
• Spidermonkey - Moteur JavaScript de Mozilla, pour déboguer les JS malveillants.

Pour extraire des fichiers à l'intérieur des images de disque et de mémoire.

• Bulk_Extractor - outil de sculpture de fichiers rapide.
• EVTXTRAT - CARVER FICHIERS DOGURS D'ÉVÉNEMENTS Windows à partir de données binaires brutes.
• Avant tout - outil de sculpture de fichiers conçu par l'US Air Force.
• Hachoir3 - Hachoir est une bibliothèque Python pour afficher et modifier un champ de flux binaire par champ.
• Scalpel - Un autre outil de sculpture de données.
• SFLOCK - Extraction / déballage d'archives imbriquées (utilisé dans Cuckoo Sandbox).

Inversion des méthodes d'obscurcissement XOR et d'autres code.

• Balbuzard - Un outil d'analyse de logiciels malveillants pour inverser l'obscurcissement (XOR, ROL, etc.) et plus encore.
• DE4DOT - .net Deobfuscator and Unpacker.
• ex_pe_xor & iheartxor - deux outils d'Alexander Hanel pour travailler avec des fichiers codés XOR à un octet.
• Floss - Le solveur de chaîne obscurci de FireEye Labs utilise des techniques d'analyse statique avancées pour désobfusquer automatiquement les chaînes de binaires de logiciels malveillants.
• Nomorexor - Devinez une clé XOR de 256 octets en utilisant l'analyse de fréquence.
• PackerAttacker - Un extracteur de code caché générique pour Windows malware.
• Extracteur Pyinstaller - un script Python pour extraire le contenu d'un fichier exécutable Windows généré par Pyinstaller. Le contenu du fichier PYZ (généralement des fichiers PYC) présente à l'intérieur de l'exécutable est également extrait et fixé automatiquement afin qu'un décompilateur de bytecode Python le reconnaisse.
• Uncompyle6 - un décompilateur de bytecode python crossversion. Traduit des bytecodes python en code source Python équivalent.
• Un {i} packer - Débacker automatique et indépendant de la plate-forme pour les binaires Windows en fonction de l'émulation.
• Débacker - Unpacker automatisé pour les logiciels malveillants pour Windows malveillants basé sur WinAppDBG.
• UNXOR - DESSIGNEMENTS DES CIES XOR Utilisation d'attaques connues-plaintes.
• VirtualDeObfuscator - outil d'ingénierie inverse pour les emballages de virtualisation.
• XorbruteForcer - Un script Python pour forçage brute des touches XOR à un octet.
• Xorsearch & Xorstrings - quelques programmes de Didier Stevens pour trouver des données Xored.
• Xortool - Devinez la longueur de la clé XOR, ainsi que la clé elle-même.

Désasseurs, débogueurs et autres outils d'analyse statique et dynamique.

• Framework d'analyse binaire anagraire-autochtone développée au SECLAB de l'UCSB.
• BAMFDETECT - Identifie et extrait les informations des bots et autres logiciels malveillants.
• Frame d'analyse binaire BAP - Multiplatform et open source (MIT) développé au cylab de CMU.
• Barf - Multiplateform, analyse binaire open source et cadre ingénieur inverse.
• Binnavi - Analyse binaire IDE pour l'ingénierie inverse basée sur la visualisation du graphique.
• Ninja binaire - Une plate-forme d'ingénierie inversée qui est une alternative à IDA.
• Binwalk - outil d'analyse du micrologiciel.
• BluePill - Framework pour l'exécution et le débogage des logiciels malveillants évasifs et des exécutables protégés.
• Capstone - Framework de démontage pour l'analyse binaire et l'inversion, avec le support pour de nombreuses architectures et liaisons dans plusieurs langues.
• CodeBro - navigateur de code basé sur le Web utilisant Clang pour fournir une analyse de code de base.
• Cutter - GUI pour Radare2.
• DECAF (Framework d'analyse de code exécutable dynamique) - Une plate-forme d'analyse binaire basée sur QEMU. DroidScope est désormais une extension du décaf.
• DNSPY - Éditeur d'assemblage .net, décompilateur et débogueur.
• DotPeek - Décompilateur .NET gratuit et navigateur d'assemblage.
• Le débogueur d'Evan (EDB) - un débogueur modulaire avec une GUI QT.
• Fibratus - Outil d'exploration et de traçage du noyau Windows.
• FPORT - Rapports ouvre les ports TCP / IP et UDP dans un système en direct et les mappe à l'application propriétaire.
• GDB - Le débogueur GNU.
• GEF - Fonctionnalités améliorées GDB, pour les exploiteurs et ingénieurs inverses.
• GHIDRA - Un cadre d'ingénierie inverse du logiciel (SRE) créé et entretenu par la Direction de recherche de l'Agence nationale de sécurité.
• Hackers-Grep - Un utilitaire pour rechercher des chaînes dans les exécutables PE, y compris les importations, les exportations et les symboles de débogage.
• Hopper - Le désassembleur macOS et Linux.
• IDA PRO - Désassembleur Windows et débogueur, avec une version d'évaluation gratuite.
• IDR - La reconstructrice interactive Delphi est un décompilateur de fichiers exécutables Delphi et de bibliothèques dynamiques.
• Debugger d'immunité - débogueur pour l'analyse des logiciels malveillants et plus encore, avec une API Python.
• Ilspy - Ilspy est le navigateur et décompilateur d'assemblage .NET open source.
• Kaitai Struct - DSL pour les formats de fichiers / protocoles de réseau / structures de données ingénieurs et dissection inverse, avec génération de code pour C ++, C #, Java, JavaScript, Perl, PHP, Python, Ruby.
• LIEF - LIEF fournit une bibliothèque multiplateforme pour analyser, modifier et abstraire les formats ELF, PE et macho.
• LTRACE - Analyse dynamique pour les exécutables Linux.
• MAC-A-MAL - Un cadre automatisé pour la chasse aux logiciels malveillants MAC.
• Objdump - partie des binutilles GNU, pour l'analyse statique des binaires Linux.
• OLLYDBG - Un débogueur au niveau de l'assembly pour les exécutables Windows.
• OLLYDUMPEX - vider la mémoire à partir du processus Windows (déballé) malware et stocker le fichier PE brut ou reconstruit. Il s'agit d'un plugin pour OllyDBG, Immunity Debugger, IDA Pro, WindBG et X64DBG.
• PANDA - Plateforme pour l'analyse dynamique neutre de l'architecture.
• PEDA - Python Exploit Development Assistance pour GDB, un affichage amélioré avec des commandes ajoutées.
• pestudio - effectuer une analyse statique des exécutables Windows.
• Pharos - Le cadre d'analyse binaire Pharos peut être utilisé pour effectuer une analyse statique automatisée des binaires.
• PLASMA - DÉMISSEMBLE INTERACTIF POUR X86 / ARM / MIPS.
• PPEE (Puppy) - Un explorateur de fichiers PE professionnel pour les inverseurs, les chercheurs de logiciels malveillants et ceux qui souhaitent inspecter statiquement les fichiers PE plus en détail.
• Explorateur de processus - Gestionnaire de tâches avancé pour Windows.
• Processus Hacker - Outil qui surveille les ressources système.
• Moniteur de processus - outil de surveillance avancé pour les programmes Windows.
• PSTools - Outils de ligne de commande Windows qui aident à gérer et à enquêter sur les systèmes en direct.
• Pyew - outil Python pour l'analyse des logiciels malveillants.
• Pyrebox - Python scriptable ingénieur ingénieur sandbox par l'équipe Talos de Cisco.
• Cadre Qiling - Emulation multiplateforme et cadre de Sanboxing avec des instruments pour l'analyse binaire.
• QKD - QEMU avec serveur WindBG intégré pour le débogage furtif.
• RADARE2 - Cadre d'ingénierie inverse, avec support de débogueur.
• Regshot - Registre Comparez l'utilitaire qui compare les instantanés.
• RETDEC - Décompilateur à code machine recitecable avec un service de décompilation en ligne et une API que vous pouvez utiliser dans vos outils.
• ROPMEMU - Un cadre pour analyser, disséquer et décompiler les attaques complexes de code-reutilisation.
• SCYLLA Importe-t-elle la reconstructrice - Trouvez et corrigez l'IAT d'un logiciel malveillant PE32 déballé / déversé.
• SCYLAHIDE - Une bibliothèque et plugin anti-anti-debug pour OllyDBG, X64DBG, IDA Pro et TitanEngine.
• SMRT - SUBLIME MALWORED Research Tool, un plugin pour Sublime 3 pour aider à des analyses de logiciels malveillants.
• Strace - Analyse dynamique pour les exécutables Linux.
• StringSifter - Un outil d'apprentissage automatique qui classe automatiquement les chaînes en fonction de leur pertinence pour l'analyse des logiciels malveillants.
• Triton - Un cadre d'analyse binaire dynamique (DBA).
• UDIS86 - Bibliothèque et outil de désassembleur pour x86 et x86_64.
• Vivisect - outil Python pour l'analyse des logiciels malveillants.
• WindBG - débogueur polyvalent pour le système d'exploitation de l'ordinateur Microsoft Windows, utilisé pour déboguer les applications en mode utilisateur, les pilotes de périphériques et les vidages de mémoire en mode noyau.
• X64DBG - Un débogueur open-source x64 / x32 pour Windows.

Analyser les interactions du réseau.

• Bro - Analyseur de protocole qui fonctionne à une échelle incroyable; Protocoles de fichiers et de réseau.
• BROYARA - Utilisez les règles Yara de Bro.
• CAPPIPPER - Explorateur de trafic HTTP malveillant.
• Chopshop - Cadre d'analyse du protocole et de décodage.
• CloudShark - outil Web pour l'analyse des paquets et la détection du trafic de logiciels malveillants.
• FAKENET-NG - Outil d'analyse de réseau dynamique de prochaine génération.
• Fiddler - Intercepter le proxy Web conçu pour «débogage Web».
• Hale - Botnet C&C Monitor.
• HAKA - un langage orienté vers la sécurité open source pour décrire les protocoles et appliquer des politiques de sécurité sur le trafic capturé (en direct).
• Httpreplay - Bibliothèque pour analyser et lire les fichiers PCAP, y compris les flux TLS à l'aide de Secrets Master TLS (utilisés dans Cuckoo Sandbox).
• INETSIM - Émulation de service réseau, utile lors de la construction d'un laboratoire de logiciels malveillants.
• Laika Boss - Laika Boss est un système d'analyse de logiciels malveillants et d'intrusion centrée sur le fichier.
• Malcolm - Malcolm est une suite d'outils d'analyse du trafic réseau puissante et facilement déployable pour les artefacts de capture de paquets complets (fichiers PCAP) et les journaux de zeek.
• Malcom - Malware Communications Analyzer.
• Maltrail - Un système de détection de trafic malveillant, en utilisant des listes publiques (noires) contenant des sentiers malveillants et / ou généralement suspects et avec une interface de reporting et d'analyse.
• Mitmproxy - Intercepter le trafic réseau à la volée.
• Moloch - IPv4 Traffic Capture, Indexing and Database System.
• NetworkMiner - Network Forensic Analysis Tool, avec une version gratuite.
• NGREP - Recherchez dans le trafic réseau comme Grep.
• PCAPviz - Topologie du réseau et visualiseur de trafic.
• Python ICAP YARA - Un serveur ICAP avec scanner YARA pour URL ou contenu.
• SquidMagic - SquidMagic est un outil conçu pour analyser un trafic réseau basé sur le Web pour détecter les serveurs centraux de commande et de contrôle (C & C) et des sites malveillants, à l'aide du serveur de proxy Squid et du spamhaus.
• TCPDUmp - Collectez le trafic réseau.
• TCPICK - TRACH et réassemblez les flux TCP à partir du trafic réseau.
• TCPXtract - Extraire les fichiers du trafic réseau.
• Wireshark - L'outil d'analyse du trafic réseau.

Outils pour disséquer les logiciels malveillants dans les images de mémoire ou les systèmes en cours d'exécution.

• Blacklight - Client de la criminalistique Windows / MacOS prenant en charge HiberFil, PageFile, analyse de mémoire brute.
• Damm - Analyse différentielle des logiciels malveillants en mémoire, construit sur la volatilité.
• EVOLVE - Interface Web pour le framework médico-légal de la mémoire de volatilité.
• FINDAES - FIND CLIES DE CRYPTION AES en mémoire.
• Invtero.net - Le cadre d'analyse de mémoire à grande vitesse développé dans .NET prend en charge tous les Windows X64, inclut l'intégrité du code et la prise en charge de l'écriture.
• Muninn - Un script pour automatiser des parties de l'analyse en utilisant la volatilité et créer un rapport lisible. Orochi - Orochi est un cadre open source pour l'analyse collaborative de vidage de mémoire médico-légale.
• REKALL - Cadre d'analyse de la mémoire, issue de la volatilité en 2013.
• TotalRecall - Script basé sur la volatilité pour automatiser diverses tâches d'analyse de logiciels malveillants.
• Voldiff - Exécutez la volatilité sur les images de mémoire avant et après l'exécution des logiciels malveillants et signalez les modifications.
• VOLATILITÉ - Framework de médecine légale avancée.
• Volutilité - Interface Web pour le cadre d'analyse de la mémoire de volatilité.
• WDBGARK - Extension anti-rootkit WindBG.
• Windbg - inspection de mémoire en direct et débogage du noyau pour les systèmes Windows.

• ACHoir - Un script de réponse aux incidents en direct pour la collecte d'artefacts Windows.
• Python-EVT - Python Library pour l'analyse des journaux d'événements Windows.
• Python-Registry - Python Library pour l'analyse des fichiers de registre.
• Regripper (GitHub) - outil d'analyse de registre basé sur les plugins.

• Aleph - Système de pipeline d'analyse des logiciels malveillants open source.
• Crits - Recherche collaborative sur les menaces, un dépôt de logiciels malveillants et de menaces.
• FAME - Un cadre d'analyse de logiciels malveillants avec un pipeline qui peut être étendu avec des modules personnalisés, qui peuvent être enchaînés et interagir les uns avec les autres pour effectuer une analyse de bout en bout.
• Malwarehouse - Stocker, Tag et Rechercher des logiciels malveillants.
• Polichombr - une plate-forme d'analyse de logiciels malveillants conçue pour aider les analystes à inverser les Malwares en collaboration.
• STOQ - Cadre d'analyse de contenu distribué avec une prise en charge du plugin étendue, de l'entrée à la sortie, et tout le reste.
• VIPER - Un cadre de gestion et d'analyse binaire pour les analystes et les chercheurs.

• Al-Khaser - Un malware POC avec de bonnes intentions qui Aimes pour souligner les systèmes anti-malware.
• Cryptoknight - Algorithme cryptographique automatisé Cadre d'ingénierie et de classification.
• DC3-MWCP - Framework Parser de configuration de logiciels malveillants du Defense Cyber ​​Crime Center.
• Flare VM - Une distribution de sécurité entièrement personnalisable basée sur Windows pour l'analyse des logiciels malveillants.
• MALSPLOITBASE - Une base de données contenant des exploits utilisés par les logiciels malveillants.
• Musée malware - Collection de programmes de logiciels malveillants distribués dans les années 80 et 1990.
• Organisateur malveillant - Un outil simple pour organiser de grands fichiers malveillants / bénins dans une structure organisée.
• Pafish - Fish paranoïaque, un outil de démonstration qui utilise plusieurs techniques pour détecter les bacs de sable et les environnements d'analyse de la même manière que les familles de logiciels malveillants.
• REMNUX - Distribution Linux et images Docker pour l'ingénierie et l'analyse des logiciels malveillants.
• Tsurugi Linux - Distribution Linux conçue pour prendre en charge vos activités DFIR enquêts, analyse des logiciels malveillants et Open Source Intelligence).
• Santoku Linux - Distribution Linux pour la criminalistique mobile, l'analyse des logiciels malveillants et la sécurité.

Matériel de lecture de l'analyse des logiciels malveillants essentiels.

• Apprentissage Analyse des logiciels malveillants - Apprentissage Analyse des logiciels malveillants: explorez les concepts, les outils et les techniques pour analogiques et étudier les logiciels malveillants Windows
• Le livre de cuisine et le DVD de l'analyste malveillant - Outils et techniques pour lutter contre le code malveillant.
• Analyse de la maîtrise des logiciels malveillants - Mastering Malware Analysis: The Complete Malware Analyst Guide to Combating Malived Software, APT, CyberCime et IoT Attacks
• Mastering Inverse Engineering - Mastering Inverse Engineering: Re-ingénieur vos compétences de piratage éthique
• Analyse pratique des logiciels malveillants - Le guide pratique de la dissection des logiciels malveillants.
• Ingénierie inverse pratique - ingénieur inverse intermédiaire.
• Véritable légiste numérique - Sécurité informatique et réponse aux incidents.
• Rootkits et bootkits - rootkits et bootkits: inverser les logiciels malveillants modernes et les menaces de prochaine génération
• L'art de la criminalistique de la mémoire - détection des logiciels malveillants et des menaces dans la mémoire Windows, Linux et Mac.
• L'Ida Pro Book - The Official Guide to the World le plus populaire Disassebler au monde.
• The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
• Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• Malicious Software - Malware blog and resources by Lenny Zeltser.
• Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• Windows Registry specification - Windows registry file format specification.
• /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
• /r/Malware - The malware subreddit.
• /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• Sécurité Android
• AppSec
• CTFs
• Executable Packing
• Forensics
• "Piratage"
• Honeypots
• Industrial Control System Security
• Incident-Response
• Infosec
• PCAP Tools
• Pentesting
• Sécurité
• Threat Intelligence
• YARA

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Merci!