ホーム>プログラミング関連>その他のソースコード
ダウンロード

素晴らしいマルウェア分析

素晴らしいマルウェア分析ツールとリソースのキュレーションリスト。 Awesome-PythonとAwesome-Phpに触発されました。

氷を落とします

  • マルウェアコレクション
    • 匿名
    • ハニーポット
    • マルウェアコーパス
  • オープンソースの脅威インテリジェンス
    • ツール
    • その他のリソース
  • 検出と分類
  • オンラインスキャナーとサンドボックス
  • ドメイン分析
  • ブラウザマルウェア
  • ドキュメントとシェルコード
  • ファイルカービング
  • 脱骨
  • デバッグとリバースエンジニアリング
  • ネットワーク
  • メモリフォレンジック
  • Windowsアーティファクト
  • ストレージとワークフロー
  • その他
  • リソース
    • 他の
  • 関連する素晴らしいリスト
  • 貢献
  • ありがとう

中国語の翻訳を見る:恶意软件分析大合集md。

マルウェアコレクション

匿名

アナリスト向けのWebトラフィックアノニマイザー。

  • Anonymouse.org-無料のWebベースの匿名化者。
  • OpenVPN -VPNソフトウェアとホスティングソリューション。
  • privoxy-プライバシー機能を備えたオープンソースプロキシサーバー。
  • Tor-クライアントIPの痕跡を残さずにWebを閲覧するためのタマネギルーター。

ハニーポット

自分のサンプルをトラップして収集します。

  • コンポット-ICS/SCADA HONEYPOT。
  • Cowrie -SSHハニーポット、Kippoに基づいています。
  • デモハンター - 低相互作用分散ハニーポット。
  • Dionaea-マルウェアをトラップするように設計されたハニーポット。
  • glastopf-ウェブアプリケーションハニーポット。
  • Honeyd-仮想ハニーネットを作成します。
  • HoneyDrive-ハニーポットバンドルLinuxディストリビューション。
  • HoneyTrap-ハニーポットを実行、監視、管理するためのOpenSourceシステム。
  • MHN -MHNは、ハニーポットの管理とデータ収集のための集中サーバーです。 MHNを使用すると、センサーをすばやく展開し、すぐにデータを収集して、きちんとしたWebインターフェイスから表示できます。
  • Mnemosyne -HoneypotデータのNormalizer;ディオナイアをサポートします。
  • Thug-悪意のあるWebサイトを調査するための低い相互作用の解釈。

マルウェアコーパス

分析のために収集されたマルウェアサンプル。

  • Clean MX-マルウェアおよび悪意のあるドメインのリアルタイムデータベース。
  • Actagio-最近のマルウェアサンプルと分析のコレクション。
  • エクスプロイトデータベース - エクスプロイトおよびシェルコードサンプル。
  • InfoSec -CERT -PA-マルウェアサンプルの収集と分析。
  • Inquest Labs-悪意のあるMicrosoftドキュメントの増え続ける検索可能なコーパス。
  • JavaScriptモールウェアコレクション - ほぼ40.000のJavaScriptマルウェアサンプルのコレクション
  • Malpedia-マルウェア調査のための迅速な識別と実用的なコンテキストを提供するリソース。
  • Malshare-悪意のあるサイトから積極的に廃棄されたマルウェアの大規模なリポジトリ。
  • Ragpicker-分析前と報告機能を備えたプラグインベースのマルウェアクローラー
  • TheZoo-アナリスト向けのライブマルウェアサンプル。
  • トラッカーH3x -Malware Corpusトラッカーと悪意のあるダウンロードサイトのAmpergator。
  • VDUDDUマルウェアレポ - さまざまなマルウェアファイルとソースコードのコレクション。
  • Virusbay-コミュニティベースのマルウェアリポジトリおよびソーシャルネットワーク。
  • virusign -Clamavを除く多くの反マルウェアプログラムによって検出されたマルウェアデータベース。
  • Virusshare-マルウェアリポジトリ、登録が必要です。
  • VX Vault-マルウェアサンプルのアクティブコレクション。
  • Zeltserのソース - Lenny Zeltserがまとめたマルウェアサンプルソースのリスト。
  • ゼウスソースコード - ゼウストロイの木馬のソースは2011年にリークされました。
  • VX Underground-無料のマルウェアサンプルの大規模で成長しているコレクション。

オープンソースの脅威インテリジェンス

ツール

IOCを収穫して分析します。

  • AubsionHelper-乱用フィードと脅威のインテルを受け取って再配布するためのオープンソースのフレームワーク。
  • AlienVault Open Threat Exchange-脅威インテリジェンスの開発において共有および協力します。
  • 組み合わせ - 公開されているソースから脅威インテリジェンスインジケーターを収集するツール。
  • FileIntel-ファイルごとのインテリジェンスをプルします。
  • Hostintel-ホストごとにインテリジェンスをプルします。
  • IntelMQ-メッセージキューを使用してインシデントデータを処理するための証明書のツール。
  • IOCエディター - XML IOCファイルの無料エディター。
  • Iocextract-妥協(IOC)抽出器、Pythonライブラリ、コマンドラインツールの高度なインジケーター。
  • IOC_WRITER -MandiantのOpenIOCオブジェクトを操作するためのPythonライブラリ。
  • Malpipe-収集されたデータを濃縮するマルウェア/IOC摂取と処理エンジン。
  • 大規模なOcto Spice-以前はCIF(Collective Intelligence Framework)として知られていました。さまざまなリストからIOCを集約します。 CSIRT Gadgets Foundationによってキュレーション。
  • MISP- MISPプロジェクトによってキュレーションされたマルウェア情報共有プラットフォーム。
  • パルスディブ - オープンソースフィードからIOCを収集する無料のコミュニティ主導の脅威インテリジェンスプラットフォーム。
  • Pyioce -Python Openiocエディター。
  • RISKIQ- IPSおよびドメインと共有の研究、接続、タグ、共有。 (Passivetotalでした。)
  • ThreatAggregator-他のリソースに以下にリストされているものの一部を含む、多くのソースからのセキュリティの脅威を集約します。
  • ThreatConnect -TC Openを使用すると、無料のコミュニティからのサポートと検証により、オープンソースの脅威データを表示および共有できます。
  • 脅威 - グラフィカルな視覚化を伴う脅威の検索エンジン。
  • 脅迫者 - Twitter、RSS、GitHubなどから調達する自動化された脅威インテルパイプラインを構築します。
  • ThreatTracker-一連のGoogleカスタム検索エンジンによってインデックス付けされたIOCSに基づいてアラートを監視および生成するPythonスクリプト。
  • TIQ -Test-脅威インテリジェンスフィードのデータ視覚化と統計分析。

その他のリソース

脅威インテリジェンスとIOCリソース。

  • Autoshun(List) - Snortプラグインとブロックリスト。
  • Bambenekコンサルティングフィード - 悪意のあるDGAアルゴリズムに基づくOSINTフィード。
  • Fidelis Barncat-広範なマルウェア構成データベース(アクセスを要求する必要があります)。
  • CI陸軍(リスト) - ネットワークセキュリティブロックリスト。
  • クリティカルスタック - フリーインテルマーケット - 90以上のフィードと1.2mを超えるインジケーターを備えた重複排除を備えた無料のIntelアグリゲーター。
  • Cyber​​crimeトラッカー - 複数のボットネットアクティブトラッカー。
  • Fireeye IOCS-妥協の指標は、Fireeyeによって公に共有されています。
  • Firehol IPリスト - 攻撃、マルウェア、乱用に焦点を当てた350以上のIPリストの分析。進化、履歴、カントリーマップ、リストされているIPSの年齢、保持ポリシー、重複を変更します。
  • HoneyDB-コミュニティ駆動型のHoneypotセンサーのデータ収集と集約。
  • HPFeeds -Honeypot Feed Protocol。
  • InfoSec -CERT -PAリスト(IPS -Domains -URLS) - ブロックリストサービス。
  • Inquest RepDB-さまざまなオープンな評判ソースからのIOCの継続的な集約。
  • Inquest IOCDB-さまざまなブログ、GitHub Repos、TwitterからのIOCの継続的な集約。
  • Internet Storm Center(DSHIELD) - Web APIを備えた日記および検索可能なインシデントデータベース。 (非公式のPythonライブラリ)。
  • MALC0DE-検索可能なインシデントデータベース。
  • マルウェアドメインリスト - 悪意のあるURLを検索して共有します。
  • Metadefender Threat Intelligence Feed -Metadefender Cloudから最も検索されたファイルハッシュのリスト。
  • Openioc-脅威インテリジェンスを共有するためのフレームワーク。
  • プルーフポイントの脅威インテリジェンス - ルールセットなど。 (以前は新たな脅威。)
  • ランサムウェアの概要 - 詳細、検出、予防を備えたランサムウェアの概要のリスト。
  • STIX-構造化された脅威情報表現 - サイバー脅威情報を表現および共有するための標準化された言語。マイターからの関連努力:
    • CAPEC-一般的な攻撃パターンの列挙と分類
    • Cybox -Cyber​​ Observables Expression
    • MAEC-マルウェア属性の列挙と特性評価
    • タクシー - 信頼できる自動化されたインジケーター情報
  • SystemLookUp -SystemLookupは、合法的で潜在的に望ましくないプログラムのコンポーネントに関する情報を提供するリストのコレクションをホストしています。
  • ThreatMiner-検索付きの脅威インテリジェンスのデータマイニングポータル。
  • スレアトレコン - インジケーターを検索し、月に最大1000個の無料です。
  • Threatshare -C2パネルトラッカー
  • Yaraルール - Yaraルールリポジトリ。
  • YETI -YETIは、観測可能性、妥協の指標、TTP、および単一の統一リポジトリの脅威に関する知識を整理するためのプラットフォームです。
  • ゼウストラッカー - ゼウスブロックリスト。

検出と分類

ウイルス対策およびその他のマルウェア識別ツール

  • Analyzepe- Windows PEファイルにレポートするためのさまざまなツールのラッパー。
  • アセンブリライン - サイバーセキュリティコミュニティの最高のツールを統合するスケーラブルなファイルトリアージおよびマルウェア分析システム。
  • BinaryAlert -Yaraルールのセットに基づいてアップロードされたファイルをスキャンしてアラートするオープンソース、サーバーレスAWSパイプライン。
  • CAPA-実行可能ファイルの機能を検出します。
  • Chkrootkit-ローカルLinux rootkit検出。
  • Clamav-オープンソースアンチウイルスエンジン。
  • それを簡単に検出します(die) - ファイルの種類を決定するためのプログラム。
  • exeinfo PE-パッカー、コンプレッサー検出器、アンパック情報、内部exeツール。
  • Exiftool-ファイルメタデータを読み取り、書き込み、編集します。
  • ファイルスキャンフレームワーク - モジュラー、再帰ファイルスキャンソリューション。
  • FN2YARA -FN2YARAは、実行可能ファイルプログラムで一致する関数(コード)のヤラ署名を生成するためのツールです。
  • Generic File Parser -Meta情報を抽出し、静的な分析を行い、ファイル内のマクロを検出する単一のライブラリパーサー。
  • Hashdeep-さまざまなアルゴリズムでダイジェストハッシュを計算します。
  • Hashcheck-さまざまなアルゴリズムでハッシュを計算するWindowsシェルエクステンション。
  • Loki- IOCのホストベースのスキャナー。
  • 誤動作 - 関数レベルでマルウェアをカタログと比較します。
  • マナリゼ - PE実行可能ファイルの静的分析器。
  • マスティフ - 静的分析フレームワーク。
  • Multiscanner-モジュラーファイルスキャン/分析フレームワーク
  • Nauz File Detector(NFD) - Windows、Linux、およびMacOS用のリンカー/コンパイラ/ツール検出器。
  • nsrllookup- NISTのNational Software Reference Libraryデータベースでハッシュを検索するためのツール。
  • Packerid -PEIDに代わるクロスプラットフォームPython。
  • PE -BEAR- PEファイルの逆転ツール。
  • PEFRAME -PEFRAMEは、ポータブル実行可能マルウェアおよび悪意のあるMSオフィスドキュメントで静的分析を実行するためのオープンソースツールです。
  • PEV -PEファイルを使用するマルチプラットフォームツールキットで、疑わしいバイナリを適切に分析するための機能が豊富なツールを提供します。
  • Portex -Javaライブラリマルウェア分析とPE奇形の堅牢性に特に焦点を当てたPEファイルを分析します。
  • Quark-Engine-難読化されたAndroidマルウェアスコアリングシステム
  • rootkitハンター - Linux rootkitsを検出します。
  • ssdeep-ファジーハッシュを計算します。
  • TotalHash.py -pythonスクリプトTotalhash.cymru.comデータベースを簡単に検索します。
  • TRID-ファイル識別子。
  • Yara-アナリスト向けのパターンマッチングツール。
  • Yaraルールジェネレーター - マルウェアサンプルのセットに基づいてYaraルールを生成します。また、誤検知を避けるための優れた文字列DBも含まれています。
  • Yara Finder- Yaraのシンプルなツールは、ファイルをさまざまなYaraルールと一致させ、疑いの指標を見つけます。

オンラインスキャナーとサンドボックス

WebベースのマルチAVスキャナー、および自動分析用のマルウェアサンドボックス。

  • Anlyz.io-オンラインサンドボックス。
  • any.run-オンラインインタラクティブサンドボックス。
  • Andrototal-複数のモバイルウイルス対策アプリに対するAPKの無料オンライン分析。
  • Boombox-パッカーとVagrantを使用したCuckoo Sandboxマルウェアラボの自動展開。
  • Cryptam-疑わしいオフィス文書を分析します。
  • Cuckoo Sandbox-オープンソース、セルフホストのサンドボックス、自動分析システム。
  • Cuckoo -Modified -GPLの下でリリースされたCuckoo Sandboxの修正バージョン。著者による法的懸念のために上流で統合されていません。
  • Cuckoo-Modified-API-Cuckoo-Modified Sandboxを制御するために使用されるPython API。
  • Deepviz-マシンラーニング分類を備えたマルチフォーマットファイルアナライザー。
  • Detux- Linux Malwaresの交通分析とIOCのキャプチャのために開発されたサンドボックス。
  • DRAKVUF-動的マルウェア分析システム。
  • filescan.io-静的マルウェア分析、VBA/PowerShell/VBS/JSエミュレーション
  • firmware.re-ほぼすべてのファームウェアパッケージを開梱、スキャン、分析します。
  • HabomalHunter- Linux ELFファイル用の自動マルウェア分析ツール。
  • ハイブリッド分析 - VXSANDBOXを搭載したオンラインマルウェア分析ツール。
  • Intezer-コードの再利用とコードの類似性を識別することにより、マルウェアを検出、分析、分類します。
  • IRMA-疑わしいファイル用の非同期およびカスタマイズ可能な分析プラットフォーム。
  • Joe Sandbox-ジョーサンドボックスを使用した深いマルウェア分析。
  • Jotti-無料のオンラインマルチAVスキャナー。
  • Limon -Linuxマルウェアを分析するためのサンドボックス。
  • Malheur-マルウェアの動作の自動サンドボックス分析。
  • Malice.io-非常にスケーラブルなマルウェア分析フレームワーク。
  • MALSUB-オンラインマルウェアおよびURL分析サービス用のPython Restful APIフレームワーク。
  • マルウェア構成 - 一般的なマルウェアからの構成設定をオンラインで抽出、デコード、表示します。
  • MalwareAnalyser.io-データマイニングと機械学習を搭載したヒューリスティック検出エンジンを備えたオンラインマルウェア異常ベースの静的分析器。
  • MALWR-オンラインカッコウサンドボックスインスタンスを使用した無料分析。
  • Metadefenderクラウド - ファイル、ハッシュ、IP、URL、またはマルウェアのドメインアドレスを無料でスキャンします。
  • NetworkTotal- PCAPファイルを分析し、ウイルス、ワーム、トロイの木馬、およびEmergingThreats Proで構成されたSuricataを使用して、あらゆる種類のマルウェアの迅速な検出を促進するサービス。
  • Noriben -Sysinternals Procmonを使用して、サンドボックス環境でマルウェアに関する情報を収集します。
  • Packettotal -Packettotalは、.pcapファイルを分析し、内部のネットワークトラフィックを視覚化するためのオンラインエンジンです。
  • PDF試験官 - 疑わしいPDFファイルを分析します。
  • ProcDot-グラフィカルマルウェア分析ツールキット。
  • 再構成者 - サンドボックスサイトにバイナリを安全にアップロードするためのヘルパースクリプト。
  • Sandbosapi-いくつかのオープンソースおよび商用マルウェアサンドボックスとの統合を構築するためのPythonライブラリ。
  • 参照 - サンドボックス化された実行環境(参照)は、安全な環境でテスト自動化を構築するためのフレームワークです。
  • Sekoia Dropper分析 - オンラインドロッパー分析(JS、VBScript、Microsoft Office、PDF)。
  • Virustotal-マルウェアサンプルとURLの無料オンライン分析
  • Visualize_logs-ログ用のオープンソース視覚化ライブラリとコマンドラインツール。 (Cuckoo、Procmon、もっと来る...)
  • Zeltserのリスト - Lenny Zeltserが編集する無料の自動化されたサンドボックスとサービス。

ドメイン分析

ドメインとIPアドレスを検査します。

  • AubsipDB -absipDBは、インターネット上でのハッカー、スパマー、虐待的な活動のspread延と戦うのを支援することに専念するプロジェクトです。
  • BADIPS.com-コミュニティベースのIPブラックリストサービス。
  • Boomerang-オフネットワークWebリソースを一貫した安全にキャプチャするために設計されたツール。
  • Cymon -IP/ドメイン/ハッシュ検索を備えた脅威インテリジェンストラッカー。
  • Desenmascara.me-ワンクリックツールは、ウェブサイトのためにできるだけ多くのメタデータを取得し、その良好な状況を評価します。
  • DIG-無料のオンラインDIGおよびその他のネットワークツール。
  • DNSTWIST-タイプミススクワット、フィッシング、企業スパイを検出するためのドメイン名順列エンジン。
  • IPINFO-オンラインリソースを検索して、IPまたはドメインに関する情報を収集します。
  • Machinae -URL、IPS、またはハッシュに関する情報を収集するためのOSINTツール。 Automatorに似ています。
  • MailChecker-クロス言語の一時的な電子メール検出ライブラリ。
  • Maltegovt -Virustotal APIのマルテゴ変換。ドメイン/IPの調査を可能にし、ファイルのハッシュとスキャンレポートを検索します。
  • Multi RBL-複数のDNSブラックリストとフォワードが300以上のRBLを超える逆DNS検索を確認しました。
  • Normshield Services-可能なフィッシングドメイン、ブラックリストに登録されたIPアドレス、および違反したアカウントを検出するための無料のAPIサービス。
  • Phishstats- IP、ドメイン、ウェブサイトのタイトルを検索したフィッシング統計
  • spyse -subdomains、whois、realted domains、dns、hosts as、ssl/tls info、
  • SecurityTrails-歴史的および現在のWHOIS、歴史的および現在のDNSレコード、同様のドメイン、証明書情報、その他のドメインおよびIP関連のAPIおよびツール。
  • SPAMCOP -IPベースのスパムブロックリスト。
  • Spamhaus-ドメインとIPSに基づくブロックリスト。
  • Sucuri Sitecheck-無料のWebサイトのマルウェアとセキュリティスキャナー。
  • Talos Intelligence- IP、ドメイン、またはネットワーク所有者を検索します。 (以前はsenderbase。)
  • Tekdefense Automater -URL、IPS、またはハッシュに関する情報を収集するためのOSINTツール。
  • Urlhaus -Abys.chのプロジェクトは、マルウェアの分布に使用されている悪意のあるURLを共有することを目的としています。
  • urlquery-無料のURLスキャナー。
  • urlscan.io-無料のURLスキャナーとドメイン情報。
  • whois -domaintools free free online whois search。
  • Zeltserのリスト - Lenny Zeltserが編集した悪意のあるWebサイトを調査するための無料のオンラインツール。
  • Zscalar Zulu -Zulu URLリスクアナライザー。

ブラウザマルウェア

悪意のあるURLを分析します。ドメイン分析とドキュメントとシェルコードセクションも参照してください。

  • ByteCode Viewer -APK/DEXサポートを含む、複数のJava Bytecode ViewerとDecompilersを1つのツールに組み合わせます。
  • FireBug- Web開発のFirefox拡張。
  • Java Decompiler -Javaアプリを逆コンパイルして検査します。
  • Java IDXパーサー-JavaIDXキャッシュファイルを解析します。
  • JSDETOX -JavaScriptマルウェア分析ツール。
  • JSUNPACK -N -BROWSER機能をエミュレートするJavaScriptのアンパッカー。
  • Krakatau -Java Decompiler、Assembler、およびResassembler。
  • Malzilla-悪意のあるWebページを分析します。
  • rabcdasm-「堅牢なActionScript bytecode分離装置」。
  • SWF調査員 - SWFアプリケーションの静的および動的分析。
  • Swftools- Adob​​e Flashファイルを操作するためのツール。
  • XXXSWF-フラッシュファイルを分析するためのPythonスクリプト。

ドキュメントとシェルコード

PDFとオフィスドキュメントから悪意のあるJSとシェルコードを分析します。ブラウザマルウェアセクションも参照してください。

  • AnalyzePDF- PDFを分析し、悪意があるかどうかを判断しようとするツール。
  • Box -JS -JScript/WScriptサポートとActiveXエミュレーションを備えたJavaScriptマルウェアを研究するためのツール。
  • distorm-悪意のあるシェルコードを分析するための分解者。
  • 調査ディープファイル検査 - ディープファイル検査とヒューリスティック分析のために、一般的なマルウェアルアーをアップロードします。
  • JS Beautifier -JavaScriptの開梱と脱ブスケーション。
  • libemu- x86シェルコードエミュレーション用のライブラリとツール。
  • MALPDFOBJ-悪意のあるPDFをJSON表現に分解します。
  • officemalscanner- MSオフィスドキュメントの悪意のあるトレースをスキャンします。
  • Olevba- OLEおよびOpenXMLドキュメントを解析し、有用な情報を抽出するためのスクリプト。
  • 折り紙PDF-悪意のあるPDFなどを分析するためのツールなど。
  • PDFツール-PDFID、PDF -Parser、Didier Stevensのその他。
  • PDF X-Ray Lite-PDF分析ツール、PDF X-Rayのバックエンドフリーバージョン。
  • PEEPDF-悪意のあるPDFを探索するためのPythonツール。
  • Quicksand -Quicksandは、疑わしいマルウェアドキュメントを分析して、異なるエンコーディングのストリームのエクスプロイトを特定し、埋め込まれた実行可能ファイルを見つけて抽出するコンパクトなCフレームワークです。
  • Spidermonkey -MozillaのJavaScriptエンジン、悪意のあるJSのデバッグ用。

ファイルカービング

内部ディスクとメモリ画像からファイルを抽出するため。

  • bulk_extractor-高速ファイルカービングツール。
  • evtxtract -carve windowsイベントログファイルは、生のバイナリデータから。
  • 第一人者 - 米国空軍が設計したファイルカービングツール。
  • Hachoir3 -Hachoirは、フィールドごとにバイナリストリームフィールドを表示および編集するPythonライブラリです。
  • Scalpel-別のデータ彫刻ツール。
  • Sflock-ネストされたアーカイブ抽出/解放(Cuckoo Sandboxで使用)。

脱骨

逆XORおよびその他のコード難読化方法。

  • Balbuzard-難読化を逆転させるためのマルウェア分析ツール(XOR、ROLなど)など。
  • de4dot -.net deobfuscatorおよびunplacer。
  • EX_PE_XOR&IHEARTXOR -Alexander Hanelの2つのツールは、シングルバイトXORエンコードファイルを操作しました。
  • Floss -Fireeye Labsは、高度な静的分析技術を使用して、マルウェアバイナリから文字列を自動的に脱皮します。
  • nomorexor-周波数分析を使用して256バイトxorキーを推測します。
  • PackerAttacker- Windowsマルウェア用の一般的な非表示コード抽出器。
  • Pyinstaller Extractor -Pyinstaller生成されたWindows実行可能ファイルの内容を抽出するためのPythonスクリプト。実行可能ファイル内に存在するPYZファイル(通常はPYCファイル)の内容も抽出され、自動的に固定されているため、Python Bytecode Decompilerがそれを認識します。
  • uncompyle6-クロスバージョンPythonバイテコード逆コンパイラ。 Python Bytecodeを等価Pythonソースコードに戻します。
  • un {i} packer-エミュレーションに基づいたWindowsバイナリ用の自動およびプラットフォームに依存しないアンパッカー。
  • Unpacker -WinAppDBGに基づくWindowsマルウェア用の自動化されたマルウェアアンパッカー。
  • UNXOR -既知のプレーンテキスト攻撃を使用してXORキーを推測します。
  • VirtualDeobfuscator-仮想化ラッパー用のリバースエンジニアリングツール。
  • Xorbruteforcer-シングルバイトXORキーを強制するためのPythonスクリプト。
  • Xorsearch&Xorstrings- Xoredデータを見つけたDidier Stevensのいくつかのプログラム。
  • Xortool -XORキーの長さとキー自体を推測します。

デバッグとリバースエンジニアリング

分解者、デバッガー、およびその他の静的および動的分析ツール。

  • ANGR- UCSBのSeclabで開発されたプラットフォームに依存しないバイナリ分析フレームワーク。
  • BAMFDETECT-ボットやその他のマルウェアから情報を識別および抽出します。
  • BAP -CMUのCylabで開発されたマルチプラットフォームおよびオープンソース(MIT)バイナリ分析フレームワーク。
  • BARF-マルチプラットフォーム、オープンソースバイナリ分析、リバースエンジニアリングフレームワーク。
  • BINNAVI-グラフの視覚化に基づくリバースエンジニアリングのバイナリ分析IDE。
  • バイナリニンジャ - IDAに代わるものである逆エンジニアリングプラットフォーム。
  • ビンウォーク - ファームウェア分析ツール。
  • BluePill-回避マルウェアと保護された実行可能ファイルを実行およびデバッグするためのフレームワーク。
  • Capstone-いくつかの言語での多くのアーキテクチャとバインディングをサポートして、バイナリ分析と逆転のための分解フレームワーク。
  • Codebro- Clangを使用して基本的なコード分析を提供するWebベースのコードブラウザー。
  • カッター-GUI for Radare2。
  • Decaf(動的実行可能コード分析フレームワーク) - QEMUに基づくバイナリ分析プラットフォーム。 DroidScopeは現在、Decafの拡張機能になっています。
  • DNSPY -.NETアセンブリエディター、逆コンパイラ、デバッガー。
  • dotpeek -free .net Decompiler and Assembly Browser。
  • Evan's Debugger(EDB) - QT GUIを備えたモジュラーデバッガー。
  • Fibratus -Windowsカーネルの探索と追跡のためのツール。
  • FPORT-ライブシステムでTCP/IPおよびUDPポートを開いたことを報告し、それらを所有アプリケーションにマッピングします。
  • GDB -GNUデバッガー。
  • GEF -ExploitersおよびReverse Engineer用のGDB強化機能。
  • Ghidra -Software Reverse Engineering(SRE)フレームワークは、国家安全保障局の研究局によって作成および維持されています。
  • ハッカーグレップ - インポート、エクスポート、デバッグシンボルを含むPE実行可能ファイルで文字列を検索するユーティリティ。
  • ホッパー - マコーとLinuxの分解。
  • Ida Pro- Windows ResassemblerとDebugger、無料評価バージョンを備えています。
  • IDR -Interactive Delphi Reconstructorは、Delphi実行可能ファイルと動的ライブラリの逆コンパイラです。
  • Immunity Debugger -Python APIを使用したマルウェア分析などのデバッガー。
  • ILSPY -ILSPYは、オープンソースの.NETアセンブリブラウザーと逆コンパイラです。
  • Kaitai struct-ファイル形式 /ネットワークプロトコル /データ構造用DSLリバースエンジニアリングと解剖、C ++、C#、Java、JavaScript、Perl、PHP、Python、Rubyのコード生成。
  • Lief -Liefは、ELF、PE、Machoの形式を解析、変更、抽象化するクロスプラットフォームライブラリを提供します。
  • LTRACE- Linux実行可能ファイルの動的分析。
  • Mac-A-Mal- Macマルウェアハンティングのための自動化されたフレームワーク。
  • Objdump- Linuxバイナリの静的分析のためのGnu Binutilsの一部。
  • OllyDBG- Windows実行可能ファイル用のアセンブリレベルのデバッガー。
  • ollydumpex -(未解決の)マルウェアWindowsプロセスからメモリをダンプし、Rawファイルまたは再構築を保存します。これは、OllyDBG、Immunity Debugger、IDA Pro、WindBG、およびX64DBGのプラグインです。
  • Panda-建築中立動的分析のためのプラットフォーム。
  • PEDA -Pythonは、コマンドを追加した拡張ディスプレイであるGDBの開発支援を活用しています。
  • Pestudio- Windows実行可能ファイルの静的分析を実行します。
  • Pharos -Pharosバイナリ分析フレームワークを使用して、バイナリの自動静的分析を実行できます。
  • プラズマ - X86/ARM/MIPS用のインタラクティブな分解者。
  • PPEE(Puppy) - Reversers、マルウェア研究者、およびPEファイルをより詳細に静的に検査したい人のプロのPEファイルエクスプローラー。
  • プロセスエクスプローラー - Windowsの高度なタスクマネージャー。
  • プロセスハッカー - システムリソースを監視するツール。
  • プロセスモニター - Windowsプログラム用の高度な監視ツール。
  • PSTOOLS-ライブシステムの管理と調査に役立つWindowsコマンドラインツール。
  • Pyew-マルウェア分析のためのPythonツール。
  • Pyrebox-シスコのタロスチームによるPythonスクリプト可能なリバースエンジニアリングサンドボックス。
  • QILINGフレームワーク - バイナリ分析のための機器を備えたクロスプラットフォームエミュレーションとサンボックス化フレームワーク。
  • QKD -QEMUステルスデバッグ用の埋め込みWindBGサーバー。
  • Radare2-デバッガーサポートを備えたリバースエンジニアリングフレームワーク。
  • RegShot-スナップショットを比較するレジストリ比較ユーティリティ。
  • Retdec-ツールで使用できるオンライン逆コンパイルサービスとAPIを備えたリターゲティング可能なマシンコード逆コンパイラ。
  • Ropmemu-複雑なコードリューズ攻撃を分析、分析、および逆コンパイルするフレームワーク。
  • Scylla Imports Reconstructor-開梱 /ダンプされたPE32マルウェアのIATを見つけて修正します。
  • Scyllahide- OllyDBG、X64DBG、IDA Pro、およびTitanengine用の反anti-Anti-Debugライブラリとプラグイン。
  • SMRT-崇高なマルウェア研究ツール、マルウェア分析を支援するSublime 3のプラグイン。
  • Strace- Linux実行可能ファイルの動的分析。
  • Stringsifter-マルウェア分析との関連性に基づいて文字列を自動的にランク付けする機械学習ツール。
  • Triton -Dynamic Binary Analysis(DBA)フレームワーク。
  • udis86- x86およびx86_64用の分解ライブラリとツール。
  • Vivisect-マルウェア分析のためのPythonツール。
  • WindBG -Microsoft Windowsコンピューターオペレーティングシステム用の多目的デバッガー、ユーザーモードアプリケーション、デバイスドライバー、カーネルモードメモリダンプをデバッグするために使用されます。
  • X64DBG -Windows用のオープンソースX64/X32デバッガー。

ネットワーク

ネットワークの相互作用を分析します。

  • Bro-信じられないほどのスケールで動作するプロトコルアナライザー。ファイルプロトコルとネットワークプロトコルの両方。
  • ブロイアラ - ブロからのヤラのルールを使用します。
  • Captipper-悪意のあるHTTPトラフィックエクスプローラー。
  • Chopshop-プロトコル分析とデコードフレームワーク。
  • CloudShark-パケット分析とマルウェアトラフィック検出のためのWebベースのツール。
  • Fakenet -NG-次世代動的ネットワーク分析ツール。
  • Fiddler-「Webデバッグ」用に設計されたWebプロキシをインターセプトします。
  • Hale -Botnet C&Cモニター。
  • Haka-プロトコルを説明し、(ライブ)キャプチャされたトラフィックにセキュリティポリシーを適用するためのオープンソースセキュリティ指向言語。
  • HTTPREPLAY- TLS Master Secrets(Cuckoo Sandboxで使用)を使用したTLSストリームを含むPCAPファイルを解析および読み取りのためのライブラリ。
  • INETSIM-ネットワークサービスエミュレーション、マルウェアラボを構築するときに役立ちます。
  • Laika Boss -Laika Bossは、ファイル中心のマルウェア分析と侵入検知システムです。
  • Malcolm -Malcolmは、フルパケットキャプチャアーティファクト(PCAPファイル)およびZeekログ用の強力で簡単に展開できるネットワークトラフィック分析ツールスイートです。
  • Malcom-マルウェア通信アナライザー。
  • MALTRAIL-悪意のあるトレイルおよび/または一般的に疑わしいトレイルを含む公開(黒)リストを利用し、レポートおよび分析インターフェイスを備えた悪意のあるトラフィック検出システム。
  • MITMProxy-その場でのネットワークトラフィックをインターセプトします。
  • Moloch -IPv4トラフィックキャプチャ、インデックス作成、データベースシステム。
  • NetworkMiner-無料版を備えたネットワークフォレンジック分析ツール。
  • NGREP- GREPのようなネットワークトラフィックを検索します。
  • PCAPVIZ-ネットワークトポロジとトラフィックビジュアライザー。
  • Python ICAP Yara- URLまたはコンテンツ用のYaraスキャナーを備えたICAPサーバー。
  • Squidmagic -squidmagicは、Squid Proxy ServerとSpamhausを使用して、セントラルコマンドとコントロール(C&C)サーバーと悪意のあるサイトを検出するためにWebベースのネットワークトラフィックを分析するために設計されたツールです。
  • TCPDUMP-ネットワークトラフィックを収集します。
  • TCPICK-ネットワークトラフィックからTCPストリームをトラックして再組み立てします。
  • TCPXTRACT-ネットワークトラフィックからファイルを抽出します。
  • Wireshark-ネットワークトラフィック分析ツール。

メモリフォレンジック

メモリ画像または実行中のシステムでマルウェアを分析するためのツール。

  • Blacklight -Windows/Macos ForensicsクライアントHiberfil、PageFile、RAWメモリ分析をサポートします。
  • DAMM-ボラティリティ上に構築されたメモリ内のマルウェアの微分分析。
  • Evolve-ボラティリティメモリフォレンジックフレームワークのWebインターフェイス。
  • FindAes-メモリ内のAES暗号化キーを見つけます。
  • Inftero.net- .NETで開発された高速メモリ分析フレームワークは、すべてのWindows X64をサポートし、コードの整合性と書き込みサポートが含まれています。
  • Muninn-ボラティリティを使用して分析の一部を自動化し、読みやすいレポートを作成するスクリプト。 Orochi -Orochiは、コラボレーションフォレンジックメモリダンプ分析のためのオープンソースフレームワークです。
  • Rekall- 2013年にボラティリティからフォークされたメモリ分析フレームワーク。
  • TotalRecall-さまざまなマルウェア分析タスクを自動化するためのボラティリティに基づくスクリプト。
  • voldiff-マルウェアの実行の前後にメモリ画像のボラティリティを実行し、変更を報告します。
  • ボラティリティ - 高度なメモリフォレンジックフレームワーク。
  • ボルート性 - ボラティリティメモリ分析フレームワーク用のWebインターフェイス。
  • WDBGARK -WINDBG Anti -Rootkit拡張。
  • WindBG- Windowsシステム用のライブメモリ検査とカーネルデバッグ。

Windowsアーティファクト

  • Achoir -Windowsアーティファクトを収集するためのライブインシデント対応スクリプト。
  • Python -EVT -Windowsイベントログを解析するためのPythonライブラリ。
  • Python -Registry-レジストリファイルを解析するためのPythonライブラリ。
  • Regripper(GitHub) - プラグインベースのレジストリ分析ツール。

ストレージとワークフロー

  • Aleph-オープンソースマルウェア分析パイプラインシステム。
  • Crits-脅威、マルウェア、脅威リポジトリに関する共同研究。
  • 名声 - カスタムモジュールで拡張できるパイプラインを備えたマルウェア分析フレームワーク。エンドツーエンドの分析を実行するために連鎖して相互作用できます。
  • Malwarehouse-ストア、タグ、および検索マルウェア。
  • Polichombr-アナリストがマルワールを協力して逆転させるのに役立つように設計されたマルウェア分析プラットフォーム。
  • STOQ-入力から出力まで、広範なプラグインサポートを備えた分散コンテンツ分析フレームワーク、およびその間のすべて。
  • Viper-アナリストと研究者向けのバイナリ管理と分析のフレームワーク。

その他

  • Al-Khaser-Anti-Malwareシステムを強調するための善意を持つPOCマルウェア。
  • Cryptoknight-自動化された暗号化アルゴリズムリバースエンジニアリングおよび分類フレームワーク。
  • DC3 -MWCP-防衛サイバー犯罪センターのマルウェア構成パーサーフレームワーク。
  • フレアVM-マルウェア分析のための完全にカスタマイズ可能なWindowsベースのセキュリティ配信。
  • Malsploitbase-マルウェアが使用するエクスプロイトを含むデータベース。
  • マルウェア博物館 - 1980年代と1990年代に配布されたマルウェアプログラムのコレクション。
  • マルウェアオーガナイザー - 大規模な悪意のある/良性ファイルを組織化された構造に整理する簡単なツール。
  • Pafish-妄想魚は、マルウェアファミリと同じ方法でサンドボックスと分析環境を検出するためにいくつかの技術を使用するデモンストレーションツールです。
  • remnux-マルウェアリバースエンジニアリングと分析用のLinuxディストリビューションとDocker画像。
  • Tsurugi Linux- DFIR調査、マルウェア分析、OSINT(オープンソースインテリジェンス)アクティビティをサポートするように設計されたLinuxディストリビューション。
  • Santoku Linux-モバイルフォレンジック、マルウェア分析、セキュリティ用のLinuxディストリビューション。

リソース

必須マルウェア分析読み取り資料。

  • マルウェア分析の学習 - マルウェア分析の学習:Windowsマルウェアを類似して調査するための概念、ツール、およびテクニックを調べる
  • マルウェアアナリストの料理本とDVD-悪意のあるコードと戦うためのツールとテクニック。
  • マルウェア分析のマスタリング - マルウェア分析の習得:悪意のあるソフトウェア、APT、サイバーチャイム、IoT攻撃との闘いに関する完全なマルウェアアナリストのガイド
  • リバースエンジニアリングのマスター - リバースエンジニアリングのマスター:倫理的ハッキングスキルを再設計する
  • 実用的なマルウェア分析 - 悪意のあるソフトウェアを分析するための実践ガイド。
  • 実用的なリバースエンジニアリング - 中間リバースエンジニアリング。
  • 実際のデジタルフォレンジック - コンピューターセキュリティとインシデント対応。
  • rootkits and bootkits- rootkits and bootkits:最新のマルウェアと次世代の脅威の逆
  • Art of Memory Forensics- Windows、Linux、Macメモリのマルウェアと脅威を検出します。
  • IDA Pro Book-世界で最も人気のある分解者の非公式ガイド。
  • The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

他の

  • APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
  • Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
  • File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
  • Honeynet Project - Honeypot tools, papers, and other resources.
  • Kernel Mode - An active community devoted to malware analysis and kernel development.
  • Malicious Software - Malware blog and resources by Lenny Zeltser.
  • Malware Analysis Search - Custom Google search engine from Corey Harrell.
  • Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
  • Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
  • Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
  • Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
  • Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
  • Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
  • RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
  • WindowsIR: Malware - Harlan Carvey's page on Malware.
  • Windows Registry specification - Windows registry file format specification.
  • /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
  • /r/Malware - The malware subreddit.
  • /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

Related Awesome Lists

  • Androidセキュリティ
  • AppSec
  • CTFs
  • Executable Packing
  • フォレンジック
  • "ハッキング"
  • Honeypots
  • Industrial Control System Security
  • Incident-Response
  • Infosec
  • PCAP Tools
  • Pentesting
  • 安全
  • Threat Intelligence
  • YARA

貢献

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

ありがとう

This list was made possible by:

  • Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
  • Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
  • And everyone else who has sent pull requests or suggested links to add here!

ありがとう!

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて