awesome malware analysis

Uma lista com curadoria de impressionantes ferramentas e recursos de análise de malware. Inspirado em python impressionante e php incrível.

• Coleção de malware
  • Anonimizadores
  • Honeypots
  • Malware corpora
• Inteligência de ameaça de código aberto
  • Ferramentas
  • Outros recursos
• Detecção e classificação
• Scanners e caixas de areia online
• Análise de domínio
• Malware do navegador
• Documentos e código shell
• Escultura de arquivos
• Deobfuscation
• Depuração e engenharia reversa
• Rede
• Memória forense
• Artefatos do Windows
• Armazenamento e fluxo de trabalho
• Variado
• Recursos
  • Livros
  • Outro
• Listas incríveis relacionadas
• Contribuindo
• Obrigado

Veja a tradução chinesa: 恶意软件分析大合集 ​​.md.

Anonimizadores de tráfego da Web para analistas.

• Anonymouse.org - um anonimizador baseado na Web gratuito.
• OpenVPN - Software VPN e soluções de hospedagem.
• Privoxy - Um servidor proxy de código aberto com alguns recursos de privacidade.
• Tor - o roteador de cebola, para navegar na web sem deixar traços do IP do cliente.

Belte e colete suas próprias amostras.

• CONPOT - ICS/SCADA Honeypot.
• Cowrie - SSH Honeypot, baseado em Kippo.
• Demohunter - Baixa interação distribuída Honeypots.
• Dionaea - Honeypot projetado para prender malware.
• GLASTOPF - Aplicativo da Web Honeypot.
• Honeyd - Crie um HoneyNet virtual.
• HoneyDrive - Distro Linux do pacote Honeypot.
• Honeytrap - Sistema OpenSource para executar, monitorar e gerenciar honeypots.
• MHN - MHN é um servidor centralizado para gerenciamento e coleta de dados de honeypots. MHN permite implantar sensores rapidamente e coletar dados imediatamente, visualizados a partir de uma interface da Web arrumada.
• Mnemosyne - um normalizador para dados do honeypot; Apoia Dionaea.
• Thug - Baixa interação HoneyClient, para investigar sites maliciosos.

Amostras de malware coletadas para análise.

• MX limpo - banco de dados em tempo real de malware e domínios maliciosos.
• CONTAGIO - Uma coleção de amostras e análises recentes de malware.
• Banco de dados Explorar - Amostras de exploração e código de shell.
• Infosec - Cert -PA - Coleção e análise de amostras de malware.
• Laboratórios de Inquérito - Corpus pesquisável eterno de documentos maliciosos da Microsoft.
• Javascript Mallware Coleção - Coleção de quase 40.000 amostras de malware JavaScript
• Malpedia - um recurso que fornece identificação rápida e contexto acionável para investigações de malware.
• Malshare - Grande repositório de malware descartado ativamente de sites maliciosos.
• Ragpicker - rastreador de malware baseado em plug -in com pré -análise e relatórios de funcionalidades
• thezoo - amostras de malware ao vivo para analistas.
• Tracker H3X - AGREGATOR PARA MALUESSO RATRAGEM E SITES maliciosos de download.
• VDUDDU MALware Repo - Coleção de vários arquivos de malware e código -fonte.
• VIRUSBAY - Repositório de malware baseado na comunidade e rede social.
• VIRUSIGN - Banco de dados de malware que detectou por muitos programas anti -malware, exceto CLAMAV.
• VIRUSSHARE - repositório de malware, registro necessário.
• VX Vault - Coleção ativa de amostras de malware.
• Fontes de Zeltser - Uma lista de fontes de amostra de malware montadas por Lenny Zeltser.
• Zeus Código -fonte - Fonte do Zeus Trojan vazou em 2011.
• VX Underground - coleção maciça e crescente de amostras gratuitas de malware.

Colhe e analise as IOCs.

• AbsuCeHelper - Uma estrutura de fonte aberta para receber e redistribuir feeds de abuso e ntel de ameaças.
• AlienVault Open Threat Exchange - Compartilhar e colaborar no desenvolvimento de inteligência de ameaças.
• Combine - ferramenta para reunir indicadores de inteligência de ameaças de fontes publicamente disponíveis.
• FileIntel - puxe a inteligência por arquivo hash.
• HostIntel - Puxe a inteligência por host.
• IntelMQ - Uma ferramenta para certificados para processamento de dados de incidentes usando uma fila de mensagens.
• Editor do IOC - um editor gratuito para arquivos XML IOC.
• IECEXTRATE - Indicador avançado de extrator de compromisso (IOC), biblioteca Python e ferramenta de linha de comando.
• IOC_Writer - Python Library para trabalhar com objetos Openioc, da Mandiant.
• Malpipe - mecanismo de ingestão e processamento de malware/IOC, que enriquece dados coletados.
• Spice maciço OCTO - anteriormente conhecido como CIF (estrutura de inteligência coletiva). Agregados IOCs de várias listas. Com curadoria da fundação CSIRT Gadgets.
• MISP - Plataforma de compartilhamento de informações sobre malware com curadoria pelo projeto MISP.
• Pulsediva-plataforma de inteligência de ameaças gratuita e orientada pela comunidade, coletando COI de feeds de código aberto.
• Pyioce - um editor do Python Openioc.
• Riskiq - Pesquise, conecte, marque e compartilhe IPS e domínios. (Foi passivetotal.)
• AmeakeGregreator - agrega ameaças à segurança de várias fontes, incluindo algumas das listadas abaixo em outros recursos.
• AmeaksConnect - O TC Open permite que você veja e compartilhe dados de ameaças de código aberto, com suporte e validação de nossa comunidade gratuita.
• AmeakCrowd - Um mecanismo de pesquisa por ameaças, com visualização gráfica.
• Ameaças - Construa Pipelines Automated Ameaças Intel Goting do Twitter, RSS, Github e muito mais.
• AmeakTracker - Um script Python para monitorar e gerar alertas com base nos IOCs indexados por um conjunto de mecanismos de pesquisa personalizados do Google.
• Testest TIQ - Visualização de dados e análise estatística de feeds de inteligência de ameaças.

Inteligência de ameaças e recursos do COI.

• AutoShun (List) - Plugin Snort e Lista Blocklist.
• Feeds de consultoria de Bambenek - Feeds OSINT com base em algoritmos DGA maliciosos.
• Fidelis Barncat - Banco de dados de configuração de malware extenso (deve solicitar acesso).
• CI Exército (Lista) - Listas de bloqueios de segurança de rede.
• Mercado Intel Free Intel de pilha crítica - Agregador da Intel gratuito com desduplicação com mais de 90 feeds e mais de 1,2 milhão de indicadores.
• Tracker de CyberCrime - rastreador ativo de botnet múltiplo.
• FIREEYE IOCS - Indicadores de compromisso compartilhados publicamente por Fireeye.
• Listas de IP de Firehol - Analytics para mais de 350 listas de IP, com foco em ataques, malware e abuso. Evolução, História de mudanças, mapas de país, idade de IPS listados, política de retenção, sobreposições.
• HoneyDB - Coleta e agregação de dados do sensor de mel de Honeypot, com comunidade.
• HPFeeds - Protocolo de alimentação do honeypot.
• Infosec - Cert -PA Listas (IPS - Domínios - URLs) - Serviço de lista de blocos.
• Inquérito REPDB - Agregação contínua de COI de uma variedade de fontes de reputação aberta.
• Inquérito IOCDB - Agregação contínua de COI de vários blogs, repositórios do GitHub e Twitter.
• Internet Storm Center (DShield) - Diário e banco de dados de incidentes pesquisáveis, com uma API da Web. (Biblioteca Python não oficial).
• MALC0DE - Banco de dados de incidentes pesquisáveis.
• Lista de domínio de malware - Pesquise e compartilhe URLs maliciosos.
• Feed de inteligência de ameaças Metadefender - Lista dos hashes de arquivos mais procurados da Metadefender Cloud.
• Openioc - estrutura para compartilhar a inteligência de ameaças.
• Inteligência de ameaças de ProofPoint - Regras e muito mais. (Ameaças anteriormente emergentes.)
• Visão geral do ransomware - Uma lista da visão geral do ransomware com detalhes, detecção e prevenção.
• STIX - Expressão de informações sobre ameaças estruturadas - linguagem padronizada para representar e compartilhar informações de ameaças cibernéticas. Esforços relacionados de Mitre:
  • Cappec - Enumeração e classificação do padrão de ataque comum
  • Cybox - Expressão de observáveis ​​cibernéticos
  • MAEC - Enumeração e caracterização de atributos de malware
  • Taxii - Troca automatizada confiável de informações indicadoras
• SystemLookup - O SystemLookup hospeda uma coleção de listas que fornecem informações sobre os componentes de programas legítimos e potencialmente indesejados.
• AmeaMMiner - Portal de mineração de dados para inteligência de ameaças, com pesquisa.
• Threatrecon - Pesquise indicadores, até 1000 grátis por mês.
• Ameakshare - rastreador de painel C2
• Regras de Yara - Repositório de Regras YARA.
• Yeti - Yeti é uma plataforma destinada a organizar observáveis, indicadores de compromisso, TTPs e conhecimento sobre ameaças em um único repositório unificado.
• Zeus Tracker - Listas de bloqueios de Zeus.

Antivírus e outras ferramentas de identificação de malware

• Analyzepe - Wrapper para uma variedade de ferramentas para relatar os arquivos do Windows PE.
• Sistema de Análise de Triação e Malware de Triagem de Arquivos e Malware, integrando as melhores ferramentas da Comunidade de Segurança Cibernética.
• BinaryAlert - Um pipeline AWS sem servidor de código aberto, que verifica e alerta os arquivos carregados com base em um conjunto de regras YARA.
• CAPA - detecta recursos em arquivos executáveis.
• Chkrootkit - Detecção local de rootkit Linux.
• CLAMAV - motor antivírus de código aberto.
• Detectá -lo fácil (dado) - um programa para determinar tipos de arquivos.
• Exeinfo PE - Packer, detector de compressores, despacho informações, ferramentas internas de EXE.
• EXIFIOL - Leia, escreva e edite metadados do arquivo.
• Estrutura de digitalização de arquivos - solução modular e recursiva de varredura de arquivos.
• FN2YARA - FN2YARA é uma ferramenta para gerar assinaturas YARA para funções correspondentes (código) em um programa executável.
• Analisador de arquivos genéricos - um único analisador da biblioteca para extrair meta -informações, análise estática e detectar macros dentro dos arquivos.
• Hashdeep - Calcule hashes Digest com uma variedade de algoritmos.
• HASHCHECK - Extensão do Windows Shell para calcular hashes com uma variedade de algoritmos.
• Loki - Scanner baseado em host para IOCs.
• Funcionar - Catalogar e comparar malware em um nível de função.
• Manalyze - Analisador estático para executáveis ​​de PE.
• MASTIFF - Estrutura de análise estática.
• Multiscanner - estrutura de varredura/análise modular
• Detector de Arquivos Nauz (NFD) - Linker/Compiler/Detector de Ferramentas para Windows, Linux e MacOS.
• NSRLLOOKUP - Uma ferramenta para procurar hashes no banco de dados da biblioteca de referência de software nacional do NIST.
• PackerId - Uma alternativa Python de plataforma cruzada ao PEID.
• Ferramenta de reversão de PE -Bear - para arquivos PE.
• PEFRAME - O PEFRAME é uma ferramenta de código aberto para realizar análises estáticas em malware executável portátil e documentos maliciosos do MS Office.
• PEV - Um kit de ferramentas multiplataforma para trabalhar com arquivos PE, fornecendo ferramentas ricas em recursos para uma análise adequada de binários suspeitos.
• Biblioteca Java para analisar arquivos PE com foco especial na análise de malware e robustez de malformação de PE.
• Engine Quark-Um sistema de pontuação de malware Android Ofuscation-Neglect Android
• ROOTKIT HUNTER - Detecte o Rootkits Linux.
• SSDEEP - Calcule hashes difusos.
• TotalHash.py - Script Python para facilitar a pesquisa do banco de dados totalhash.cymru.com.
• Trid - identificador de arquivo.
• Yara - ferramenta de correspondência de padrões para analistas.
• Yara Regras Gerador - Gere regras YARA com base em um conjunto de amostras de malware. Também contém um bom db de cordas para evitar falsos positivos.
• Yara Finder - Uma ferramenta simples para Yara corresponde ao arquivo com várias regras YARA para encontrar os indicadores de suspeita.

Scanners multi-AV baseados na Web e caixas de areia de malware para análise automatizada.

• ANLYZ.IO - Sandbox online.
• Any.Run - Sandbox interativo on -line.
• Andrototal - Análise on -line gratuita de APKs contra vários aplicativos antivírus móveis.
• BoomBox - Implantação automática do Laboratório de Malware de Cuckoo Sandbox usando o Packer e o Vagrant.
• Cryptam - Analise documentos suspeitos do escritório.
• Sandbox Cuckoo - código aberto, caixa de areia auto -hospedada e sistema de análise automatizada.
• Versão modificada de cuco -modificada do cuckoo Sandbox lançado sob a GPL. Não se fundiu a montante devido a preocupações legais do autor.
• API-API modificada por cuco-Uma API de Python usada para controlar uma caixa de areia modificada por cuco.
• Analisador de arquivos DeepViz-Multi-Format com classificação de aprendizado de máquina.
• Detux - Uma caixa de areia desenvolvida para fazer a análise de tráfego de malwares Linux e captura de COI.
• Drakvuf - Sistema de Análise de Malware Dinâmico.
• FileScan.io - Análise de malware estático, emulação VBA/PowerShell/VBS/JS
• Firmware.re - Deseppacione, digitaliza e analisa quase qualquer pacote de firmware.
• Habomalhunter - Uma ferramenta automatizada de análise de malware para arquivos Linux ELF.
• Análise Híbrida - Ferramenta de Análise de Malware Online, alimentada pelo VXSandBox.
• Intezer - Detectar, analisar e categorizar malware, identificando a reutilização do código e as semelhanças de código.
• IRMA - Uma plataforma de análise assíncrona e personalizável para arquivos suspeitos.
• Joe Sandbox - Análise de malware profundo com Joe Sandbox.
• Jotti - Scanner multi -AV online gratuito.
• Limon - Sandbox para analisar malware Linux.
• Malheur - Análise automática de caixa de areia do comportamento de malware.
• Malice.io - Estrutura de análise de malware massivamente escalável.
• MALSUB - Uma estrutura de API Python RESTful para serviços de análise de malware e URL on -line.
• Configuração de malware - Extrair, decodificar e exibir on -line as configurações de configuração de malwares comuns.
• MalwareAnalyser.io - Analisador estático baseado em anomalias de malware on -line com mecanismo de detecção heurística alimentado pela mineração de dados e aprendizado de máquina.
• Malwr - Análise gratuita com uma instância de sandbox de cuco on -line.
• Metadefender Cloud - Digitalize um arquivo, hash, ip, URL ou endereço de domínio para malware gratuitamente.
• NetworkTotal - Um serviço que analisa arquivos PCAP e facilita a rápida detecção de vírus, vermes, trojans e todos os tipos de malware usando o Suricata configurado com os emergentes Pro.
• Noriben - usa a Sysinternals Procmon para coletar informações sobre malware em um ambiente de caixa de areia.
• Packettotal - Packettotal é um mecanismo on -line para analisar arquivos .pcap e visualizar o tráfego de rede dentro.
• PDF Examiner - Analise arquivos PDF suspeitos.
• PROCDOT - Um kit de ferramenta de análise gráfica de malware.
• Recomposer - Um script auxiliar para carregar com segurança binários para sites de sandbox.
• Sandboxapi - Biblioteca Python para criar integrações com várias caixas de areia de código aberto e de malware comercial.
• Veja - O ambiente de execução da caixa de areia (ver) é uma estrutura para a criação de automação de testes em ambientes seguros.
• Análise de conta -gotas Sekoia - análise de conta -gotas on -line (JS, VBScript, Microsoft Office, PDF).
• Virustotal - Análise on -line gratuita de amostras de malware e URLs
• Visualize_logs - Biblioteca de visualização de código aberto e ferramentas de linha de comando para logs. (Cuco, Procmon, mais por vir ...)
• Lista de Zeltser - caixas e serviços automatizados gratuitos, compilados por Lenny Zeltser.

Inspecione domínios e endereços IP.

• AbusoIPDB - Abusopdb é um projeto dedicado a ajudar a combater a disseminação de hackers, spammers e atividades abusivas na Internet.
• Badips.com - Serviço de lista negra de IP baseada na comunidade.
• Boomerang - Uma ferramenta projetada para captura consistente e segura de recursos da Web fora da rede.
• Cymon - Rastreador de inteligência de ameaças, com pesquisa de IP/domínio/hash.
• Desenmascara.me - uma ferramenta de um clique para recuperar o máximo de metadados possível para um site e avaliar sua boa posição.
• DIG - DIG on -line gratuito e outras ferramentas de rede.
• Dnstwist - Motor de permutação de nome de domínio para detectar agachamento, phishing e espionagem corporativa.
• IPINFO - Reúna informações sobre um IP ou domínio pesquisando recursos on -line.
• Machinae - ferramenta OSINT para coletar informações sobre URLs, IPs ou hashes. Semelhante ao Automator.
• MailChecker - Biblioteca de detecção de email temporária em linguagem cruzada.
• Maltegovt - Maltego Transform para a API Virustotal. Permite pesquisas de domínio/IP e procurar hashes de arquivos e relatórios de digitalização.
• Multi RBL - Múltipla lista de Blacklist e DNS confirmou a pesquisa DNS reversa em mais de 300 RBLs.
• NormShield Services - Serviços de API gratuitos para detectar possíveis domínios de phishing, endereços IP na lista negra e contas violadas.
• Phishstats - Phishing Statistics com pesquisa por IP, domínio e título do site
• Spyse - subdomínios, whois, domínios reais, DNS, hospedeiros como, SSL/TLS Info,
• SecurityTrails - WHOIS histórico e atual, registros históricos e atuais de DNS, domínios semelhantes, informações de certificação e outros domínios e API e ferramentas relacionadas à IP.
• SpamCop - Lista de blocos de spam baseada em IP.
• Spamhaus - Lista de blocos com base em domínios e IPs.
• Sucuri Sitecheck - Malware de site gratuito e scanner de segurança.
• Intelligence Talos - Pesquise IP, domínio ou proprietário de rede. (Anteriormente sendebase.)
• TEKDEFENSEN AUTOMATER - Ferramenta OSINT para coletar informações sobre URLs, IPs ou hashes.
• URLHAUS - Um projeto da abuso.
• URLQUERY - Scanner de URL gratuito.
• UrlScan.io - Informações gratuitas sobre o Scanner e o domínio.
• Whois - Domaintools Online Whois Pesquisa.
• Lista de Zeltser - Ferramentas on -line gratuitas para pesquisar sites maliciosos, compilados por Lenny Zeltser.
• Zular Zulu - Analisador de Risco de URL Zulu.

Analisar URLs maliciosos. Consulte também a análise de domínio e os documentos e as seções do código de shell.

• Visualizador de bytecode - combina vários visualizadores de bytecode Java e descompiladores em uma ferramenta, incluindo suporte APK/DEX.
• Firebug - Extensão do Firefox para o Desenvolvimento da Web.
• Java Decompiler - Decompilar e inspecionar aplicativos Java.
• Java IDX Parser - analisa arquivos de cache Java IDX.
• JSDETOX - Ferramenta de análise de malware JavaScript.
• JSUNPACK -N - Um desempacote JavaScript que emula a funcionalidade do navegador.
• Krakatau - Java Decompiler, Assembler e Desmontingbler.
• Malzilla - Analise páginas da Web maliciosas.
• RABCDASM - um "robusto ActionScript bytecode Desmontingbler".
• Investigador SWF - Análise estática e dinâmica de aplicações SWF.
• Swftools - Ferramentas para trabalhar com arquivos do Adobe Flash.
• XXXSWF - Um script python para analisar arquivos flash.

Analise o JS e o código de shell maliciosos a partir de PDFs e documentos do escritório. Veja também a seção de malware do navegador.

• AnalyzePDF - Uma ferramenta para analisar PDFs e tentar determinar se eles são maliciosos.
• Box -Js - Uma ferramenta para estudar malware JavaScript, com suporte ao JScript/WScript e emulação do ActiveX.
• Distorm - Desmontador para analisar o código de shell malicioso.
• Inquérito de inspeção de arquivos profunda - Upload de iscas de malware comuns para inspeção profunda de arquivos e análise heurística.
• JS Beautifier - DeSpacoção de JavaScript e Deobfuscation.
• Libemu - Biblioteca e ferramentas para a emulação de código de shell x86.
• MALPDFOBJ - desconstruir PDFs maliciosos em uma representação JSON.
• OFFICEMALSCANNER - Digitam traços maliciosos em documentos do MS Office.
• OLEVBA - Um script para analisar documentos OLE e OpenXML e extrair informações úteis.
• Origami PDF - Uma ferramenta para analisar PDFs maliciosos e muito mais.
• Ferramentas em PDF - PDFID, PDF -PARSER e muito mais de Didier Stevens.
• Lite de raios X PDF-uma ferramenta de análise PDF, a versão sem back-end do raio-x PDF.
• PEEPDF - Ferramenta Python para explorar PDFs possivelmente maliciosos.
• PASSA DO PASSA - A areia movediça é uma estrutura C compacta para analisar documentos suspeitos de malware para identificar explorações em fluxos de diferentes codificações e localizar e extrair executáveis ​​incorporados.
• Spidermonkey - Motor JavaScript de Mozilla, para depurar JS malicioso.

Para extrair arquivos de imagens internas de disco e memória.

• Bulk_extractor - Ferramenta de escultura rápida de arquivo.
• EVTXTRATE - Escreva arquivos de log de eventos do Windows a partir de dados binários brutos.
• Em primeiro lugar - ferramenta de escultura de arquivos projetada pela Força Aérea dos EUA.
• Hachoir3 - Hachoir é uma biblioteca Python para visualizar e editar um campo de fluxo binário por campo.
• Scalpel - Outra ferramenta de escultura de dados.
• SFLOCK - Extração/descompacagem de arquivo aninhado (usado no Cuckoo Sandbox).

Os métodos reversos de XOR e outros métodos de ofuscação de código.

• BALBUZARD - Uma ferramenta de análise de malware para reversão de ofuscação (XOR, ROL, etc.) e muito mais.
• DE4DOT - .NET DEOBFUSCATOR E DESPOLHER.
• EX_PE_XOR & IHEARTXOR - Duas ferramentas de Alexander Hanel para trabalhar com arquivos codificados por bytes únicos.
• Floss - O Solver de String Ofuscated de Fireeye Labs usa técnicas avançadas de análise estática para desviar automaticamente sequências de binários de malware.
• Nomorexor - Adivinhe uma chave de 256 byte xor usando análise de frequência.
• Packerattacker - Um extrator de código oculto genérico para malware do Windows.
• Extrator PyInstaller - um script Python para extrair o conteúdo de um arquivo executável do Windows gerado por pyinstaller. O conteúdo do arquivo PYZ (geralmente arquivos PYC) presente dentro do executável também são extraídos e corrigidos automaticamente, para que um decompilador de bytecode python o reconheça.
• UNCOMPYLE6 - Um decompilador de bytecode Python versões cruzadas. Traduz Python bytecode de volta ao código -fonte equivalente do Python.
• un {i} Packer - Unpacker automático e independente da plataforma para binários do Windows com base na emulação.
• Unpacker - Deputado de malware automatizado para malware do Windows com base no WinAppDBG.
• UNXOR - Adivinhe as teclas XOR usando ataques de planagem conhecido.
• VirtualDeObfuscator - Ferramenta de engenharia reversa para invólucros de virtualização.
• XORBRUTEFORCER - Um script python para forçando as teclas de byte single -byte.
• Xorsearch & Xorstrings - Alguns programas da Didier Stevens para encontrar dados Xored.
• Xortool - adivinhe o comprimento da chave xor, bem como a própria chave.

Desmontadores, depuradores e outras ferramentas de análise estática e dinâmica.

• ANGR - Estrutura de análise binária agnóstica da plataforma desenvolvida no Seclab da UCSB.
• BAMFDETECT - Identifica e extrai informações de bots e outros malware.
• BAP - estrutura binária de análise binária multiplataforma e de código aberto (MIT) desenvolvido no cylab da CMU.
• BARF - Multiplataforma, análise binária de código aberto e estrutura de engenharia reversa.
• Binnavi - Análise binária IDE para engenharia reversa com base na visualização de gráficos.
• Ninja binário - Uma plataforma de engenharia de reversão que é uma alternativa à IDA.
• Binwalk - Ferramenta de análise de firmware.
• Bluepill - estrutura para executar e depurar malware evasivo e executáveis ​​protegidos.
• Capstone - Estrutura de desmontagem para análise binária e reversão, com suporte para muitas arquiteturas e ligações em vários idiomas.
• CodeBro - navegador de código baseado na Web usando o CLANG para fornecer análise básica de código.
• Cutter - GUI para Radue2.
• DECAF (estrutura dinâmica de análise de código executável) - Uma plataforma de análise binária baseada no Qemu. Droidscope agora é uma extensão para o descafeinado.
• DNSPY - Editor de Assembléia .NET, decompilador e depurador.
• DOTPEEK - Decompilador .NET gratuito e navegador de montagem.
• Depurador de Evan (EDB) - Um depurador modular com uma GUI QT.
• Fibratus - Ferramenta para exploração e rastreamento do kernel do Windows.
• FPORT - Relatórios Abra as portas TCP/IP e UDP em um sistema ao vivo e as mapeia para o aplicativo próprio.
• GDB - O depurador GNU.
• GEF - Recursos aprimorados do GDB, para exploradores e engenheiros reversos.
• GHIDRA - Uma estrutura de engenharia reversa de software (SRE) criada e mantida pela Diretoria de Pesquisa da Agência de Segurança Nacional.
• Hackers -Grep - Um utilitário para pesquisar strings em executáveis ​​de PE, incluindo importações, exportações e símbolos de depuração.
• Hopper - o MacOS e o Linux desmontador.
• IDA Pro - Windows Desmonting and Debugger, com uma versão de avaliação gratuita.
• IDR - O Reconstrutor Delphi Interactive é um decompilador de arquivos executáveis ​​Delphi e bibliotecas dinâmicas.
• Depurador da Imunidade - Debugger para análise de malware e muito mais, com uma API Python.
• Ilspy - Ilspy é o navegador de montagem .NET de código aberto .NET.
• Kaitai Struct - DSL para formatos de arquivo / protocolos de rede / estruturas de dados engenharia e dissecção reversa, com geração de código para C ++, C#, Java, JavaScript, Perl, Php, Python, Ruby.
• Lief - Lief fornece uma biblioteca de plataformas cruzadas para analisar, modificar e abstrair elfos, PE e formatos machos.
• LTRACE - Análise dinâmica para executáveis ​​do Linux.
• MAC-A-MAL-Uma estrutura automatizada para a caça aos malware Mac.
• Objdump - Parte dos binutils GNU, para análise estática de binários Linux.
• Ollydbg - Um depurador de nível de montagem para executáveis ​​do Windows.
• OLLYDUMPEX - DUMP MEMÓRIA DO PROCESSO DE MALware (Unpacked) e armazenará o arquivo PE bruto ou reconstruído. Este é um plugin para Ollydbg, depurador de imunidade, Ida Pro, Windbg e X64DBG.
• Panda - Plataforma para análise dinâmica neutra em arquitetura.
• Peda - Assistência ao Desenvolvimento de Exploração Python para o GDB, uma tela aprimorada com comandos adicionados.
• Pestudio - Execute a análise estática dos executáveis ​​do Windows.
• Pharos - A estrutura de análise binária Pharos pode ser usada para realizar análises estáticas automatizadas de binários.
• Plasma - Desmontador interativo para x86/braço/mips.
• PPEE (Puppy) - Um explorador profissional de arquivos PE para reversores, pesquisadores de malware e aqueles que desejam inspecionar estaticamente os arquivos PE com mais detalhes.
• Process Explorer - Gerenciador de tarefas avançado para Windows.
• Hacker de processo - ferramenta que monitora os recursos do sistema.
• Monitor de processos - Ferramenta de monitoramento avançado para programas Windows.
• PSTOOLS - Ferramentas de linha de comando do Windows que ajudam a gerenciar e investigar sistemas ao vivo.
• Pyew - ferramenta Python para análise de malware.
• Pyrebox - Sandbox de engenharia reversa de scripts Python pela equipe Talos da Cisco.
• QILING Framework - Estrutura de emulação de plataforma cruzada e SanBoxing com instrumentos para análise binária.
• QKD - Qemu com servidor Windbg incorporado para depuração furtiva.
• RATARE2 - Estrutura de engenharia reversa, com suporte ao depurador.
• Regshot - Registro Compare o utilitário que compara instantâneos.
• Retdec - Decompilador de código de máquina retargetável com um serviço de decompilação on -line e API que você pode usar em suas ferramentas.
• ROPMEMU - Uma estrutura para analisar, dissecar e descompilar ataques complexos de reluimento de código.
• Reconstrutor de importações da Scylla - Encontre e corrija o IAT de um malware PE32 despacado / despejado.
• Scyllahide-Uma biblioteca e plug-in anti-anti-debug para ollydbg, x64dbg, Ida Pro e TitaNEngine.
• SMRT - Sublime Malware Research Tool, um plug -in para sublime 3 para ajudar na análise de malware.
• Strace - Análise dinâmica para executáveis ​​do Linux.
• Stringsifter - Uma ferramenta de aprendizado de máquina que classifica automaticamente strings com base em sua relevância para a análise de malware.
• Triton - Uma estrutura de análise binária dinâmica (DBA).
• UDIS86 - Biblioteca e ferramenta desmontadores para x86 e x86_64.
• Vivisect - ferramenta Python para análise de malware.
• Windbg - Depurador multiuso para o sistema operacional Microsoft Windows Computer, usado para depurar aplicativos de modo de usuário, drivers de dispositivo e despejos de memória do modo de kernel.
• X64DBG - Um depurador x64/x32 de código aberto para Windows.

Analise as interações de rede.

• BRO - Analisador de protocolo que opera em escala incrível; protocolos de arquivo e rede.
• Broyara - Use regras Yara de Bro.
• Captipper - Explorador de tráfego HTTP malicioso.
• CHOPSHOP - Análise de protocolo e estrutura de decodificação.
• CloudShark - ferramenta baseada na Web para análise de pacotes e detecção de tráfego de malware.
• Fakenet -NG - Ferramenta de análise de rede dinâmica da próxima geração.
• Fiddler - interceptar o proxy da web projetado para "depuração da web".
• Hale - Monitor de botnet C&C.
• HAKA - Uma linguagem orientada para a segurança de código aberto para descrever protocolos e aplicar políticas de segurança no tráfego capturado (ao vivo).
• Httpreplay - biblioteca para análise e leitura de arquivos PCAP, incluindo fluxos TLS usando segredos mestre do TLS (usados ​​no Cuckoo Sandbox).
• Inetsim - Emulação de serviço de rede, útil ao criar um laboratório de malware.
• Laika Boss - Laika Boss é um sistema de análise de malware centrado em arquivo e detecção de intrusões.
• MALCOLM - Malcolm é um suíte de ferramenta de análise de tráfego de rede poderoso e facilmente implantável para artefatos de captura de pacotes completos (arquivos PCAP) e logs ZEEK.
• Malcom - Malware Communications Analyzer.
• MalTrail - Um sistema de detecção de tráfego malicioso, utilizando listas publicamente disponíveis (Black) contendo trilhas maliciosas e/ou geralmente suspeitas e apresentando uma interface de relatórios e análise.
• MITMPROXY - Interceptar o tráfego de rede em tempo real.
• MOLOCH - IPV4 CAPTURAÇÃO, INDICIAÇÃO E DA BASE.
• NetworkMiner - Ferramenta de análise forense de rede, com uma versão gratuita.
• NGREP - Pesquise no tráfego de rede como Grep.
• PCAPVIZ - Topologia de rede e visualizador de tráfego.
• Python ICAP Yara - um servidor ICAP com scanner Yara para URL ou conteúdo.
• Squidmagic - Squidmagic é uma ferramenta projetada para analisar um tráfego de rede baseado na Web para detectar servidores de comando e controle Central (C&C) e sites maliciosos, usando o Squid Proxy Server e o Spamhaus.
• TCPDUMP - Colete tráfego de rede.
• TCPICK - Trach e remonta os fluxos TCP do tráfego de rede.
• TCPXTRATE - Extrair arquivos do tráfego de rede.
• Wireshark - a ferramenta de análise de tráfego de rede.

Ferramentas para dissecar malware em imagens de memória ou sistemas em execução.

• Blacklight - Cliente Windows/MacOS Forensics que suporta Hiberfil, PageFile, Análise de memória bruta.
• Den - Análise diferencial de malware na memória, construída com volatilidade.
• EVOLVE - Interface da Web para a estrutura forense da memória de volatilidade.
• FindAES - Encontre as teclas de criptografia AES na memória.
• InviTero.net - A estrutura de análise de memória de alta velocidade desenvolvida no .NET suporta todos os Windows X64, inclui integridade de código e suporte de gravação.
• Muninn - Um script para automatizar partes da análise usando volatilidade e criar um relatório legível. Orochi - Orochi é uma estrutura de código aberto para análise colaborativa de despejo de memória forense.
• Rekall - estrutura de análise de memória, bifurcada da volatilidade em 2013.
• TotalRecall - Script com base na volatilidade para automatizar várias tarefas de análise de malware.
• Voldiff - Execute a volatilidade nas imagens da memória antes e após a execução de malware e relate alterações.
• Volatilidade - estrutura forense de memória avançada.
• Volutilidade - Interface da Web para estrutura de análise de memória de volatilidade.
• WDBGARK - Extensão anti -rootkit de Windbg.
• Windbg - Inspeção de memória ao vivo e depuração do kernel para sistemas Windows.

• ACHOIR - Um script de resposta a incidentes ao vivo para reunir artefatos do Windows.
• Python -EVT - Biblioteca Python para analisar logs de eventos do Windows.
• Python -Registry - Biblioteca Python para analisar arquivos de registro.
• Regropper (GitHub) - Ferramenta de análise de registro baseada em plug -in.

• Aleph - Sistema de pipeline de análise de malware de código aberto.
• CRITS - Pesquisa colaborativa sobre ameaças, um malware e repositório de ameaças.
• Fama-Uma estrutura de análise de malware com um pipeline que pode ser estendido com módulos personalizados, que podem ser encadeados e interagir entre si para realizar análises de ponta a ponta.
• Malwarehouse - Armazene, tag e pesquise malware.
• Polichombr - Uma plataforma de análise de malware projetada para ajudar os analistas a reverter os malwares em colaboração.
• STOQ - Estrutura de análise de conteúdo distribuída com suporte extenso do plug -in, da entrada à saída e tudo mais.
• Viper - Uma estrutura de gerenciamento e análise binária para analistas e pesquisadores.

• AL-KHASER-Um malware POC com boas intenções que Aimes Aimpes para enfatizar os sistemas anti-malware.
• Cryptoknight - Algoritmo criptográfico automatizado. Estrutura de engenharia e classificação reversa.
• DC3 -MWCP - A estrutura do analisador de configuração de malware do Centro Cibernético de Defesa.
• Flare VM - Uma distribuição de segurança totalmente personalizável, baseada em Windows para análise de malware.
• MALSPLOITBASE - Um banco de dados contendo explorações usadas por malware.
• Museu de Malware - Coleção de programas de malware que foram distribuídos nas décadas de 1980 e 1990.
• Organizador de malware - uma ferramenta simples para organizar grandes arquivos maliciosos/benignos em uma estrutura organizada.
• Pafish - Peixe paranóico, uma ferramenta de demonstração que emprega várias técnicas para detectar caixas de areia e ambientes de análise da mesma maneira que as famílias de malware.
• REMNUX - Distribuição Linux e imagens do Docker para engenharia e análise de malware.
• Tsurugi Linux - Distribuição Linux, projetada para apoiar suas investigações do DFIR, análise de malware e atividades OSINT (Inteligência de código aberto).
• Santoku Linux - Distribuição Linux para forense móvel, análise de malware e segurança.

Material de leitura essencial de análise de malware.

• Análise de malware de aprendizado - Análise de malware de aprendizado: Explore os conceitos, ferramentas e técnicas para analisar e investigar o malware do Windows
• Livro de receitas e DVD do analista de malware - Ferramentas e técnicas para combater o código malicioso.
• MASTEING MALware Analysis - Mastering Malware Analysis: O Guia Completo de Analistas de Malware para combater o software malicioso, APT, Cybercime e Ataques de IoT
• Dominando engenharia reversa - dominar a engenharia reversa: reengineer suas habilidades éticas de hackers
• Análise prática de malware - o guia prático para dissecar software malicioso.
• Engenharia Reversa Prática - Engenharia Reversa Intermediária.
• Forense digital real - segurança de computadores e resposta a incidentes.
• Rootkits e Bootkits - Rootkits e Bootkits: Revertendo Malware Moderno e Ameaças da Próxima Geração
• A arte da memória forense - Detectando malware e ameaças no Windows, Linux e Mac Memory.
• The Ida Pro Book - O guia não oficial do desmontador mais popular do mundo.
• The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

• APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
• Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
• File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
• Honeynet Project - Honeypot tools, papers, and other resources.
• Kernel Mode - An active community devoted to malware analysis and kernel development.
• Malicious Software - Malware blog and resources by Lenny Zeltser.
• Malware Analysis Search - Custom Google search engine from Corey Harrell.
• Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
• Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
• Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
• Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
• Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
• Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
• RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
• WindowsIR: Malware - Harlan Carvey's page on Malware.
• Windows Registry specification - Windows registry file format specification.
• /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
• /r/Malware - The malware subreddit.
• /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

• Android Security
• AppSec
• CTFs
• Executable Packing
• Forensics
• "Hacking"
• Honeypots
• Industrial Control System Security
• Incident-Response
• Infosec
• PCAP Tools
• Pentesting
• Segurança
• Threat Intelligence
• YARA

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

This list was made possible by:

• Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
• Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
• And everyone else who has sent pull requests or suggested links to add here!

Obrigado!