หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

การวิเคราะห์มัลแวร์ที่ยอดเยี่ยม

รายการเครื่องมือและทรัพยากรการวิเคราะห์มัลแวร์ที่ยอดเยี่ยม แรงบันดาลใจจาก Python ที่ยอดเยี่ยมและ Awesome-PHP

ปล่อยน้ำแข็ง

  • คอลเลกชันมัลแวร์
    • ผู้ไม่ประสงค์ออกนาม
    • พ็อต
    • Malware Corpora
  • ข่าวกรองการคุกคามโอเพ่นซอร์ส
    • เครื่องมือ
    • ทรัพยากรอื่น ๆ
  • การตรวจจับและการจำแนกประเภท
  • สแกนเนอร์ออนไลน์และกล่องทราย
  • การวิเคราะห์โดเมน
  • มัลแวร์เบราว์เซอร์
  • เอกสารและ ShellCode
  • การแกะสลักไฟล์
  • การทำให้หลั่งไหลออกมา
  • การดีบักและวิศวกรรมย้อนกลับ
  • เครือข่าย
  • หน่วยความจำนิติวิทยาศาสตร์
  • สิ่งประดิษฐ์ของ Windows
  • การจัดเก็บและเวิร์กโฟลว์
  • เบ็ดเตล็ด
  • ทรัพยากร
    • หนังสือ
    • อื่น
  • รายการที่ยอดเยี่ยมที่เกี่ยวข้อง
  • การบริจาค
  • ขอบคุณ

ดูการแปลภาษาจีน: 恶意软件分析大合集 ​​.MD

คอลเลกชันมัลแวร์

ผู้ไม่ประสงค์ออกนาม

การจราจรบนเว็บ Anonymizers สำหรับนักวิเคราะห์

  • Anonymouse.org - ผู้ไม่เปิดเผยตัวตนบนเว็บฟรี
  • OpenVPN - ซอฟต์แวร์ VPN และโซลูชั่นโฮสติ้ง
  • Privoxy - พร็อกซีเซิร์ฟเวอร์โอเพนซอร์สที่มีคุณสมบัติความเป็นส่วนตัวบางอย่าง
  • Tor - The Onion เราเตอร์เพื่อเรียกดูเว็บโดยไม่ทิ้งร่องรอยของ IP ของไคลเอนต์

พ็อต

กับดักและรวบรวมตัวอย่างของคุณเอง

  • Conpot - ICS/SCADA Honeypot
  • Cowrie - SSH Honeypot ตาม Kippo
  • Demohunter - Honeypots แบบกระจายการโต้ตอบต่ำ
  • Dionaea - Honeypot ออกแบบมาเพื่อดักมัลแวร์
  • Glastopf - เว็บแอปพลิเคชัน Honeypot
  • Honeyd - สร้าง Honeynet เสมือนจริง
  • Honeydrive - Honeypot Bundle Linux Distro
  • Honeytrap - ระบบ OpenSource สำหรับการทำงานตรวจสอบและจัดการฮันนีพ็อต
  • MHN - MHN เป็นเซิร์ฟเวอร์ส่วนกลางสำหรับการจัดการและการรวบรวมข้อมูลของ Honeypots MHN ช่วยให้คุณสามารถปรับใช้เซ็นเซอร์ได้อย่างรวดเร็วและรวบรวมข้อมูลทันทีสามารถดูได้จากอินเตอร์เฟสเว็บที่เรียบร้อย
  • Mnemosyne - A Normalizer สำหรับข้อมูล honeypot; สนับสนุน Dionaea
  • อันธพาล - Honeyclient การโต้ตอบต่ำสำหรับการตรวจสอบเว็บไซต์ที่เป็นอันตราย

Malware Corpora

ตัวอย่างมัลแวร์ที่รวบรวมไว้สำหรับการวิเคราะห์

  • ทำความสะอาด MX - ฐานข้อมูลเรียลไทม์ของมัลแวร์และโดเมนที่เป็นอันตราย
  • CONTAGIO - ชุดของตัวอย่างมัลแวร์ล่าสุดและการวิเคราะห์
  • ใช้ประโยชน์จากฐานข้อมูล - Exploit และ ShellCode ตัวอย่าง
  • Infosec - Cert -PA - การรวบรวมและวิเคราะห์ตัวอย่างมัลแวร์
  • Equest Labs - คลังข้อมูลที่ค้นหาได้ของเอกสาร Microsoft ที่เป็นอันตราย
  • JavaScript Mallware Collection - คอลเลกชันของตัวอย่างมัลแวร์ JavaScript เกือบ 40.000
  • Malpedia - ทรัพยากรที่ให้การระบุอย่างรวดเร็วและบริบทที่สามารถดำเนินการได้สำหรับการตรวจสอบมัลแวร์
  • Malshare - ที่เก็บมัลแวร์ขนาดใหญ่ทิ้งจากไซต์ที่เป็นอันตราย
  • Ragpicker - ตัวรวบรวมข้อมูลมัลแวร์ที่ใช้ปลั๊กอินพร้อมการวิเคราะห์ก่อนและการรายงานฟังก์ชันการทำงาน
  • Thezoo - ตัวอย่างมัลแวร์สดสำหรับนักวิเคราะห์
  • Tracker H3X - Agregator สำหรับ Malware Corpus Tracker และเว็บไซต์ดาวน์โหลดที่เป็นอันตราย
  • VDuddu Malware Repo - การรวบรวมไฟล์มัลแวร์และซอร์สโค้ดต่างๆ
  • Virusbay - ที่เก็บมัลแวร์ชุมชนและเครือข่ายสังคมออนไลน์
  • Virusign - ฐานข้อมูลมัลแวร์ที่ตรวจพบโดยโปรแกรมต่อต้านมัลแวร์จำนวนมากยกเว้น Clamav
  • Virusshare - ที่เก็บมัลแวร์, การลงทะเบียนที่จำเป็น
  • VX Vault - คอลเลกชันตัวอย่างมัลแวร์ที่ใช้งานอยู่
  • แหล่งที่มาของ Zeltser - รายการแหล่งตัวอย่างมัลแวร์ที่รวบรวมโดย Lenny Zeltser
  • ซอร์สโค้ด Zeus - แหล่งที่มาของซุสโทรจันรั่วไหลออกมาในปี 2554
  • VX Underground - คอลเลกชันตัวอย่างมัลแวร์ฟรีจำนวนมากและกำลังเติบโต

ข่าวกรองการคุกคามโอเพ่นซอร์ส

เครื่องมือ

เก็บเกี่ยวและวิเคราะห์ IOCs

  • Abjormhelper - กรอบโอเพนซอร์ซสำหรับการรับและแจกจ่ายฟีดการละเมิดและการคุกคาม Intel
  • AlienVault Open Take Exchange - แบ่งปันและทำงานร่วมกันในการพัฒนาข่าวกรองภัยคุกคาม
  • รวม - เครื่องมือในการรวบรวมตัวชี้วัดข่าวกรองภัยคุกคามจากแหล่งข้อมูลสาธารณะ
  • FileIntel - Pull Intelligence ต่อไฟล์แฮช
  • HostIntel - ดึงสติปัญญาต่อโฮสต์
  • IntelMQ - เครื่องมือสำหรับ CERTS สำหรับการประมวลผลข้อมูลเหตุการณ์โดยใช้คิวข้อความ
  • IOC Editor - ตัวแก้ไขฟรีสำหรับไฟล์ XML IOC
  • iocextract - ตัวบ่งชี้ขั้นสูงของการประนีประนอม (IOC) extractor, Library Python และเครื่องมือบรรทัดคำสั่ง
  • IOC_WRITER - ไลบรารี Python สำหรับการทำงานกับ OpenIOC Objects จาก Mandiant
  • Malpipe - การกลืนกินมัลแวร์/IOC และการประมวลผลซึ่งเสริมสร้างข้อมูลที่รวบรวมได้
  • Massive Octo Spice - ก่อนหน้านี้รู้จักกันในชื่อ CIF (Collective Intelligence Framework) มวลรวม IOCs จากรายการต่าง ๆ ดูแลโดยมูลนิธิ CSIRT Gadgets
  • MISP - แพลตฟอร์มการแบ่งปันข้อมูลมัลแวร์ที่ดูแลโดยโครงการ MISP
  • PulsEdive-แพลตฟอร์มข่าวกรองการคุกคามที่ขับเคลื่อนด้วยชุมชนที่รวบรวม IOCs จากฟีดโอเพนซอร์ซ
  • PYIOCE - Editor Python OpenIOC
  • Riskiq - การวิจัยเชื่อมต่อแท็กและแบ่งปัน IPS และโดเมน (เป็น passivetotal)
  • ภัยคุกคาม - รวมถึงภัยคุกคามความปลอดภัยจากหลายแหล่งรวมถึงบางส่วนที่ระบุไว้ด้านล่างในทรัพยากรอื่น ๆ
  • TRASSCONNECT - TC Open ช่วยให้คุณเห็นและแบ่งปันข้อมูลภัยคุกคามโอเพ่นซอร์สด้วยการสนับสนุนและการตรวจสอบจากชุมชนฟรีของเรา
  • TarkeCrowd - เครื่องมือค้นหาสำหรับภัยคุกคามพร้อมการสร้างภาพกราฟิก
  • RASKESTOR - สร้างการคุกคามอัตโนมัติ Intel Pipelines ที่จัดหาจาก Twitter, RSS, GitHub และอื่น ๆ
  • TarkTracker - สคริปต์ Python เพื่อตรวจสอบและสร้างการแจ้งเตือนตาม IOC ที่จัดทำดัชนีโดยชุดเครื่องมือค้นหาของ Google Custom
  • TIQ -TEST - การสร้างภาพข้อมูลและการวิเคราะห์ทางสถิติของ FEAD ข่าวกรองภัยคุกคาม

ทรัพยากรอื่น ๆ

ข่าวกรองภัยคุกคามและทรัพยากร IOC

  • autoshun (รายการ) - ปลั๊กอิน Snort และรายการบล็อก
  • Bambenek Consulting Feeds - ฟีด OSINT ตามอัลกอริทึม DGA ที่เป็นอันตราย
  • Fidelis Barncat - ฐานข้อมูลการกำหนดค่ามัลแวร์ที่กว้างขวาง (ต้องขอการเข้าถึง)
  • CI Army (รายการ) - รายการบล็อกความปลอดภัยของเครือข่าย
  • Critical Stack- Free Intel Market - Aggregator Intel ฟรีพร้อมการซ้ำซ้อนที่มีฟีดกว่า 90+ และตัวบ่งชี้มากกว่า 1.2 ม.
  • ตัวติดตามอาชญากรรมไซเบอร์ - ตัวติดตามบอตเน็ตหลายตัว
  • FireEye IOCS - ตัวชี้วัดของการประนีประนอมที่เปิดเผยต่อสาธารณะโดย FireEye
  • รายการ IP ของ Firehol - Analytics สำหรับรายการ IP มากกว่า 350 รายการโดยมุ่งเน้นไปที่การโจมตีมัลแวร์และการละเมิด วิวัฒนาการ, การเปลี่ยนแปลงประวัติศาสตร์, แผนที่ประเทศ, อายุของ IPS ที่ระบุไว้, นโยบายการเก็บรักษา, การทับซ้อนกัน
  • HoneyDB - การรวบรวมข้อมูลเซ็นเซอร์และการรวมตัวของเซ็นเซอร์ฮันนีพ็อตที่ขับเคลื่อนด้วยชุมชน
  • HPFEEDS - โปรโตคอลฟีดฮันนี่พ็อต
  • InfoSec - รายการ CERT -PA (IPS - DOMAINS - URL) - บริการบล็อกรายการ
  • การสอบสวน RepDB - การรวมกันอย่างต่อเนื่องของ IOCs จากแหล่งชื่อเสียงที่หลากหลาย
  • การสอบถาม IOCDB - การรวมตัวอย่างต่อเนื่องของ IOCs จากบล็อกที่หลากหลาย GitHub repos และ Twitter
  • Internet Storm Center (DSHIELD) - Diary และฐานข้อมูลเหตุการณ์ที่ค้นหาได้พร้อม Web API (ห้องสมุด Python ที่ไม่เป็นทางการ)
  • MALC0DE - ฐานข้อมูลเหตุการณ์ที่ค้นหาได้
  • รายการโดเมนมัลแวร์ - ค้นหาและแบ่งปัน URL ที่เป็นอันตราย
  • Metadefender ภัยคุกคามข่าวกรองข่าวกรอง - รายการไฟล์ที่ค้นหามากที่สุดแฮชจากเมดิเฟนเดอร์คลาวด์
  • OpenIOC - เฟรมเวิร์กสำหรับการแบ่งปันข่าวกรองภัยคุกคาม
  • Proofpoint ภัยคุกคามข่าวกรอง - กฎและอื่น ๆ (ก่อนหน้านี้เป็นภัยคุกคามที่เกิดขึ้น))
  • ภาพรวม Ransomware - รายการภาพรวม ransomware พร้อมรายละเอียดการตรวจจับและการป้องกัน
  • STIX - การแสดงออกของข้อมูลการคุกคามที่มีโครงสร้าง - ภาษามาตรฐานเพื่อเป็นตัวแทนและแบ่งปันข้อมูลภัยคุกคามไซเบอร์ ความพยายามที่เกี่ยวข้องจาก MITER:
    • CAPEC - การแจกแจงรูปแบบการโจมตีทั่วไปและการจำแนกประเภท
    • Cybox - การแสดงออกที่สังเกตได้ในโลกไซเบอร์
    • MAEC - การแจงนับและการจำแนกลักษณะของมัลแวร์
    • Taxii - การแลกเปลี่ยนข้อมูลตัวบ่งชี้อัตโนมัติที่เชื่อถือได้
  • SystemLookup - SystemLookup เป็นโฮสต์ของรายการที่ให้ข้อมูลเกี่ยวกับส่วนประกอบของโปรแกรมที่ถูกต้องตามกฎหมายและไม่พึงประสงค์
  • การคุกคาม - พอร์ทัลการขุดข้อมูลสำหรับข่าวกรองภัยคุกคามพร้อมการค้นหา
  • THREATRECON - ค้นหาตัวชี้วัดสูงสุด 1,000 ฟรีต่อเดือน
  • การคุกคาม - ตัวติดตามพาเนล C2
  • กฎของ Yara - พื้นที่เก็บข้อมูลของ Yara
  • Yeti - Yeti เป็นแพลตฟอร์มที่มีความหมายในการจัดระเบียบสิ่งที่สังเกตได้ตัวบ่งชี้การประนีประนอม TTPS และความรู้เกี่ยวกับภัยคุกคามในที่เก็บเดียว
  • Zeus Tracker - Zeus Blocklists

การตรวจจับและการจำแนกประเภท

Antivirus และเครื่องมือระบุมัลแวร์อื่น ๆ

  • Analyzepe - wrapper สำหรับเครื่องมือที่หลากหลายสำหรับการรายงานบนไฟล์ Windows PE
  • AssemblyLine - ระบบการวิเคราะห์แบบ triage และมัลแวร์ที่ปรับขนาดได้รวมเครื่องมือที่ดีที่สุดของชุมชนความปลอดภัยไซเบอร์ ..
  • BinaryAlert - ท่อโอเพนซอร์ส, Serverless AWS ที่สแกนและแจ้งเตือนเกี่ยวกับไฟล์ที่อัปโหลดตามชุดของกฎ YARA
  • CAPA - ตรวจจับความสามารถในไฟล์ปฏิบัติการ
  • Chkrootkit - การตรวจจับ linux rootkit ท้องถิ่น
  • Clamav - เครื่องยนต์ป้องกันไวรัสโอเพนซอร์ส
  • ตรวจจับได้ง่าย (ตาย) - โปรแกรมสำหรับการกำหนดประเภทของไฟล์
  • Exeinfo PE - Packer, เครื่องตรวจจับคอมเพรสเซอร์, ข้อมูลแกะกล่อง, เครื่องมือ EXE ภายใน
  • Exiftool - อ่านเขียนและแก้ไขข้อมูลเมตา
  • เฟรมเวิร์กการสแกนไฟล์ - โซลูชันการสแกนไฟล์แบบแยกส่วน
  • FN2YARA - FN2YARA เป็นเครื่องมือในการสร้างลายเซ็น YARA สำหรับฟังก์ชั่นการจับคู่ (รหัส) ในโปรแกรมปฏิบัติการ
  • ตัวแยกวิเคราะห์ไฟล์ทั่วไป - ตัวแยกวิเคราะห์ห้องสมุดเดียวเพื่อแยกข้อมูลเมตาการวิเคราะห์แบบคงที่และตรวจจับมาโครภายในไฟล์
  • Hashdeep - คำนวณ Hashes Digest ด้วยอัลกอริทึมที่หลากหลาย
  • HashCheck - ส่วนขยายของ Windows Shell เพื่อคำนวณแฮชด้วยอัลกอริทึมที่หลากหลาย
  • Loki - สแกนเนอร์ที่ใช้โฮสต์สำหรับ IOCs
  • ความผิดปกติ - แคตตาล็อกและเปรียบเทียบมัลแวร์ในระดับฟังก์ชั่น
  • Manalyze - เครื่องวิเคราะห์แบบคงที่สำหรับการดำเนินการ PE
  • Mastiff - กรอบการวิเคราะห์แบบคงที่
  • Multiscanner - กรอบการสแกน/วิเคราะห์ไฟล์แบบแยกส่วน
  • เครื่องตรวจจับไฟล์ NAUZ (NFD) - Linker/Compiler/Tool Detector สำหรับ Windows, Linux และ MacOS
  • NSRLLOOKUP - เครื่องมือในการค้นหาแฮชในฐานข้อมูลห้องสมุดอ้างอิงซอฟต์แวร์แห่งชาติของ NIST
  • Packerid - ทางเลือก Python ข้ามแพลตฟอร์มสำหรับ Peid
  • PE -Bear - เครื่องมือย้อนกลับสำหรับไฟล์ PE
  • PEFRAME - PEFRAME เป็นเครื่องมือโอเพ่นซอร์สเพื่อทำการวิเคราะห์แบบคงที่ในมัลแวร์ที่ใช้งานได้แบบพกพาและเอกสาร MS Office ที่เป็นอันตราย
  • PEV - ชุดเครื่องมือแบบทวีคูณเพื่อทำงานกับไฟล์ PE โดยให้เครื่องมือที่มีคุณสมบัติมากมายสำหรับการวิเคราะห์ไบนารีที่น่าสงสัยอย่างเหมาะสม
  • Portex - Java Library เพื่อวิเคราะห์ไฟล์ PE โดยมุ่งเน้นเป็นพิเศษในการวิเคราะห์มัลแวร์และความทนทานของ PE Malformation
  • Quark-Engine-ระบบการให้คะแนนมัลแวร์ Android ที่ทำให้เข้าใจผิด
  • Rootkit Hunter - ตรวจจับ Linux Rootkits
  • SSDEEP - คำนวณแฮชฟัซซี่
  • TotalHash.py - Python Script เพื่อค้นหาฐานข้อมูล TotalHash.cymru.com ได้ง่าย
  • Trid - ตัวระบุไฟล์
  • YARA - เครื่องมือจับคู่รูปแบบสำหรับนักวิเคราะห์
  • เครื่องกำเนิดกฎของ Yara - สร้างกฎ YARA ตามชุดตัวอย่างมัลแวร์ นอกจากนี้ยังมีสายเดซิเบลที่ดีเพื่อหลีกเลี่ยงผลบวกที่ผิดพลาด
  • Yara Finder - เครื่องมือง่ายๆในการใช้ Yara จับคู่ไฟล์กับกฎของ Yara ต่างๆเพื่อค้นหาตัวชี้วัดของความสงสัย

สแกนเนอร์ออนไลน์และกล่องทราย

สแกนเนอร์ Multi-AV บนเว็บและมัลแวร์แซนด์บ็อกซ์สำหรับการวิเคราะห์อัตโนมัติ

  • Anlyz.io - Sandbox ออนไลน์
  • any.run - Sandbox แบบอินเทอร์แอคทีฟออนไลน์
  • Andrototal - การวิเคราะห์ออนไลน์ฟรีของ APKs กับแอพป้องกันไวรัสมือถือหลายตัว
  • Boombox - การปรับใช้อัตโนมัติของ Cuckoo Sandbox Malware Lab โดยใช้ Packer และ Vagrant
  • Cryptam - วิเคราะห์เอกสารสำนักงานที่น่าสงสัย
  • Cuckoo Sandbox - โอเพ่นซอร์สกล่องทรายที่โฮสต์ด้วยตนเองและระบบวิเคราะห์อัตโนมัติ
  • Cuckoo -Modified - Cuckoo Sandbox รุ่นที่ถูกปล่อยออกมาภายใต้ GPL ไม่รวมต้นน้ำเนื่องจากความกังวลทางกฎหมายโดยผู้เขียน
  • Cuckoo-Modified-API-API Python ที่ใช้ควบคุมกล่องทรายที่ดัดแปลงจากนกกาเหว่า
  • Deepviz-ตัววิเคราะห์ไฟล์แบบหลายรูปแบบพร้อมการจำแนกประเภทการเรียนรู้ของเครื่อง
  • Detux - กล่องทรายที่พัฒนาขึ้นเพื่อทำการวิเคราะห์การจราจรของ Linux Malwares และจับ IOCs
  • Drakvuf - ระบบการวิเคราะห์มัลแวร์แบบไดนามิก
  • filescan.io - การวิเคราะห์มัลแวร์แบบคงที่, การจำลอง VBA/PowerShell/VBS/JS
  • Firmware.Re - แกะสแกนและวิเคราะห์แพ็คเกจเฟิร์มแวร์เกือบทุกชนิด
  • Habomalhunter - เครื่องมือวิเคราะห์มัลแวร์อัตโนมัติสำหรับไฟล์ Linux ELF
  • การวิเคราะห์ไฮบริด - เครื่องมือวิเคราะห์มัลแวร์ออนไลน์ขับเคลื่อนโดย VxSandBox
  • Intezer - ตรวจจับวิเคราะห์และจัดหมวดหมู่มัลแวร์โดยการระบุการใช้รหัสซ้ำและความคล้ายคลึงกันของรหัส
  • Irma - แพลตฟอร์มการวิเคราะห์แบบอะซิงโครนัสและปรับแต่งได้สำหรับไฟล์ที่น่าสงสัย
  • Joe Sandbox - การวิเคราะห์มัลแวร์ลึกกับ Joe Sandbox
  • JOTTI - สแกนเนอร์ Multi -AV ออนไลน์ฟรี
  • Limon - Sandbox สำหรับการวิเคราะห์มัลแวร์ Linux
  • MALHEUR - การวิเคราะห์แบบแซนด์บ็อกซ์อัตโนมัติของพฤติกรรมมัลแวร์
  • Malice.io - กรอบการวิเคราะห์มัลแวร์ที่ปรับขนาดได้อย่างหนาแน่น
  • MALSUB - เฟรมเวิร์ก API ของ Python Restful สำหรับมัลแวร์ออนไลน์และบริการวิเคราะห์ URL
  • Malware Config - แยกถอดรหัสและแสดงการตั้งค่าการกำหนดค่าออนไลน์จาก Malwares ทั่วไป
  • malwareanalyser.io - เครื่องวิเคราะห์แบบคงที่ของมัลแวร์ออนไลน์ที่มีความผิดปกติด้วยเครื่องยนต์ตรวจจับการวิเคราะห์เชิงฮิวริสติกขับเคลื่อนโดยการขุดข้อมูลและการเรียนรู้ของเครื่อง
  • Malwr - การวิเคราะห์ฟรีด้วยอินสแตนซ์ Cuckoo Sandbox ออนไลน์
  • MetadeFender Cloud - สแกนไฟล์แฮช, IP, URL หรือที่อยู่โดเมนสำหรับมัลแวร์ฟรี
  • NetworkTotal - บริการที่วิเคราะห์ไฟล์ PCAP และอำนวยความสะดวกในการตรวจจับไวรัสหนอนโทรจันและมัลแวร์ทุกชนิดโดยใช้ Suricata ที่กำหนดค่าด้วย EmergingTreats Pro
  • Noriben - ใช้ sysinternals procmon เพื่อรวบรวมข้อมูลเกี่ยวกับมัลแวร์ในสภาพแวดล้อมแบบทราย
  • PacketTotal - PacketTotal เป็นเครื่องมือออนไลน์สำหรับการวิเคราะห์ไฟล์. pcap และแสดงภาพการรับส่งข้อมูลเครือข่ายภายใน
  • PDF Examiner - วิเคราะห์ไฟล์ PDF ที่น่าสงสัย
  • Procdot - ชุดเครื่องมือวิเคราะห์มัลแวร์กราฟิก
  • Recomposer - สคริปต์ผู้ช่วยสำหรับการอัปโหลดไบรท์ไปยังไซต์ Sandbox อย่างปลอดภัย
  • Sandboxapi - Library Python สำหรับการสร้างการรวมเข้ากับกล่องทรายโอเพ่นซอร์สและมัลแวร์เชิงพาณิชย์หลายแห่ง
  • ดู - สภาพแวดล้อมการดำเนินการของ Sandboxed (ดู) เป็นกรอบสำหรับการสร้างระบบทดสอบอัตโนมัติในสภาพแวดล้อมที่ปลอดภัย
  • การวิเคราะห์แบบหยด Sekoia - การวิเคราะห์แบบหยดออนไลน์ (JS, VBScript, Microsoft Office, PDF)
  • Virustotal - การวิเคราะห์ออนไลน์ฟรีของตัวอย่างมัลแวร์และ URL
  • Visualize_logs - ไลบรารีการสร้างภาพข้อมูลโอเพ่นซอร์สและเครื่องมือบรรทัดคำสั่งสำหรับบันทึก (Cuckoo, Procmon, เพิ่มเติมที่จะมา ... )
  • รายการของ Zeltser - กล่องทรายและบริการอัตโนมัติฟรีรวบรวมโดย Lenny Zeltser

การวิเคราะห์โดเมน

ตรวจสอบโดเมนและที่อยู่ IP

  • AbventIPDB - AbjorceIPDB เป็นโครงการที่อุทิศตนเพื่อช่วยต่อสู้กับการแพร่กระจายของแฮ็กเกอร์ผู้ส่งอีเมลหาความและกิจกรรมที่ไม่เหมาะสมบนอินเทอร์เน็ต
  • badips.com - บริการ IP Blacklist ที่ใช้ชุมชน
  • Boomerang - เครื่องมือที่ออกแบบมาเพื่อการจับภาพทรัพยากรเว็บเครือข่ายที่สอดคล้องและปลอดภัย
  • CYMON - การติดตามข่าวกรองภัยคุกคามด้วยการค้นหา IP/DOMAIN/แฮช
  • desenmascara.me - เครื่องมือคลิกเดียวเพื่อดึงข้อมูลเมตามากที่สุดเท่าที่จะเป็นไปได้สำหรับเว็บไซต์และเพื่อประเมินสถานะที่ดี
  • Dig - Dig ออนไลน์ฟรีและเครื่องมือเครือข่ายอื่น ๆ
  • DNSTWIST - เอ็นจิ้นชื่อโดเมนสำหรับการตรวจจับการย่ำแย่การยั่วยุฟิชชิ่งและการจารกรรมขององค์กร
  • IPINFO - รวบรวมข้อมูลเกี่ยวกับ IP หรือโดเมนโดยการค้นหาแหล่งข้อมูลออนไลน์
  • Machinae - เครื่องมือ OSINT สำหรับการรวบรวมข้อมูลเกี่ยวกับ URL, IPS หรือแฮช คล้ายกับ Automator
  • MailChecker - ห้องสมุดตรวจจับอีเมลชั่วคราวข้ามภาษา
  • Maltegovt - Maltego Transform สำหรับ Virustotal API อนุญาตให้มีการวิจัยโดเมน/IP และค้นหารายงานแฮชไฟล์และสแกน
  • Multi RBL - บัญชีดำ DNS หลายรายการและการค้นหาการค้นหา DNS ย้อนกลับไปข้างหน้ามากกว่า 300 RBLs
  • Normshield Services - บริการ API ฟรีสำหรับการตรวจจับโดเมนฟิชชิ่งที่เป็นไปได้ที่อยู่ IP ที่ขึ้นบัญชีดำและบัญชีที่ละเมิด
  • Phishstats - สถิติฟิชชิ่งพร้อมการค้นหา IP, โดเมนและชื่อเว็บไซต์
  • Spyse - โดเมนย่อย, whois, โดเมนที่รับรู้, DNS, โฮสต์เป็น, ข้อมูล SSL/TLS,
  • SecurityTrails - Historical และปัจจุบัน WHOIS, บันทึก DNS ในอดีตและปัจจุบัน, โดเมนที่คล้ายกัน, ข้อมูลใบรับรองและ API และเครื่องมืออื่น ๆ ที่เกี่ยวข้องกับ IP
  • SPAMCOP - รายการบล็อกสแปมที่ใช้ IP
  • Spamhaus - รายการบล็อกตามโดเมนและ IPS
  • Sucuri SiteCheck - มัลแวร์เว็บไซต์ฟรีและเครื่องสแกนความปลอดภัย
  • Talos Intelligence - ค้นหา IP, Domain หรือเจ้าของเครือข่าย (ก่อนหน้านี้ SenderBase.)
  • Tekdefense Automater - เครื่องมือ OSINT สำหรับการรวบรวมข้อมูลเกี่ยวกับ URL, IPS หรือแฮช
  • URLHAUS - โครงการจากการละเมิด ch โดยมีเป้าหมายในการแบ่งปัน URL ที่เป็นอันตรายซึ่งใช้สำหรับการกระจายมัลแวร์
  • urlQuery - สแกนเนอร์ URL ฟรี
  • urlscan.io - สแกนเนอร์ URL ฟรีและข้อมูลโดเมน
  • Whois - Domaintools ออนไลน์ฟรีค้นหา whois
  • รายการของ Zeltser - เครื่องมือออนไลน์ฟรีสำหรับการค้นคว้าเว็บไซต์ที่เป็นอันตรายรวบรวมโดย Lenny Zeltser
  • ZSCALAR ZULU - เครื่องวิเคราะห์ความเสี่ยง URL ZULU

มัลแวร์เบราว์เซอร์

วิเคราะห์ URL ที่เป็นอันตราย ดูเพิ่มเติมที่การวิเคราะห์โดเมนและเอกสารและส่วน ShellCode

  • Bytecode Viewer - รวมผู้ชม Java Bytecode หลายตัวและ decompilers ไว้ในเครื่องมือเดียวรวมถึงการสนับสนุน APK/DEX
  • Firebug - ส่วนขยาย Firefox เพื่อการพัฒนาเว็บ
  • Java Decompiler - ถอดรหัสและตรวจสอบแอพ Java
  • Java IDX PARSER - Parses Java IDX Cache ไฟล์
  • JSDETOX - เครื่องมือวิเคราะห์มัลแวร์ JavaScript
  • JSUNPACK -N - UNPACKER JAVASCRIPT ที่เลียนแบบฟังก์ชันการทำงานของเบราว์เซอร์
  • Krakatau - Java decompiler, Assembler และ Disassembler
  • Malzilla - วิเคราะห์หน้าเว็บที่เป็นอันตราย
  • Rabcdasm - "Actionsction Bytecode Disassembler"
  • SWF Investigator - การวิเคราะห์แบบคงที่และแบบไดนามิกของแอปพลิเคชัน SWF
  • SWFTOOLS - เครื่องมือสำหรับการทำงานกับไฟล์ Adobe Flash
  • XXXSWF - สคริปต์ Python สำหรับการวิเคราะห์ไฟล์แฟลช

เอกสารและ ShellCode

วิเคราะห์ JS และ Shellcode ที่เป็นอันตรายจาก PDF และเอกสารสำนักงาน ดูส่วนของเบราว์เซอร์มัลแวร์

  • AnalyZepDF - เครื่องมือสำหรับการวิเคราะห์ PDFs และพยายามตรวจสอบว่าพวกเขาเป็นอันตรายหรือไม่
  • Box -JS - เครื่องมือสำหรับการศึกษามัลแวร์ JavaScript ซึ่งมีการรองรับ JScript/WScript และการจำลอง ActiveX
  • Distorm - Disassembler สำหรับการวิเคราะห์ Shellcode ที่เป็นอันตราย
  • สอบถามการตรวจสอบไฟล์ลึก - อัพโหลดเหยื่อมัลแวร์ทั่วไปสำหรับการตรวจสอบไฟล์ลึกและการวิเคราะห์การวิเคราะห์ตนเอง
  • JS Beautifier - JavaScript UNMUNCHING และ DEOBFUSCATION
  • Libemu - ไลบรารีและเครื่องมือสำหรับการจำลอง ShellCode X86
  • Malpdfobj - Deconstruct PDF ที่เป็นอันตรายในการเป็นตัวแทน JSON
  • OfficemalsCanner - สแกนร่องรอยที่เป็นอันตรายในเอกสารสำนักงาน MS
  • Olevba - สคริปต์สำหรับการแยกวิเคราะห์เอกสาร OLE และ OpenXML และแยกข้อมูลที่เป็นประโยชน์
  • Origami PDF - เครื่องมือสำหรับการวิเคราะห์ PDF ที่เป็นอันตรายและอื่น ๆ
  • เครื่องมือ PDF - PDFID, PDF -Parser และอื่น ๆ จาก Didier Stevens
  • PDF X-Ray Lite-เครื่องมือวิเคราะห์ PDF ซึ่งเป็นรุ่น PDF X-ray รุ่นแบ็กเอนด์
  • PEEPDF - เครื่องมือ Python สำหรับการสำรวจ PDF ที่เป็นอันตราย
  • Quicksand - Quicksand เป็นเฟรมเวิร์กขนาดกะทัดรัดในการวิเคราะห์เอกสารมัลแวร์ที่น่าสงสัยเพื่อระบุการหาประโยชน์ในสตรีมของการเข้ารหัสที่แตกต่างกันและเพื่อค้นหาและแยกการทำงานแบบฝังตัว
  • Spidermonkey - เครื่องยนต์ JavaScript ของ Mozilla สำหรับการดีบัก JS ที่เป็นอันตราย

การแกะสลักไฟล์

สำหรับการแยกไฟล์จากดิสก์ภายในและอิมเมจหน่วยความจำ

  • BULK_EXTRACTOR - เครื่องมือแกะสลักไฟล์ที่รวดเร็ว
  • EVTXTRACT - แกะสลักไฟล์บันทึกเหตุการณ์ Windows จากข้อมูลไบนารีดิบ
  • สำคัญที่สุด - เครื่องมือแกะสลักไฟล์ที่ออกแบบโดยกองทัพอากาศสหรัฐฯ
  • Hachoir3 - Hachoir เป็นไลบรารี Python เพื่อดูและแก้ไขฟิลด์สตรีมไบนารีตามฟิลด์
  • Scalpel - เครื่องมือแกะสลักข้อมูลอื่น
  • SFLOCK - การสกัดแบบคลังเก็บซ้อนกัน/แกะกล่อง (ใช้ใน Cuckoo Sandbox)

การทำให้หลั่งไหลออกมา

ย้อนกลับ XOR และวิธีการทำให้งงงวยรหัสอื่น ๆ

  • Balbuzard - เครื่องมือวิเคราะห์มัลแวร์สำหรับการย้อนกลับการทำให้งงงวย (XOR, ROL, ฯลฯ ) และอื่น ๆ
  • de4dot - .net deobfuscator และ unpacker
  • EX_PE_XOR & IHEARTXOR - เครื่องมือสองอย่างจาก Alexander Hanel สำหรับการทำงานกับไฟล์เข้ารหัส XOR แบบไบต์เดียว
  • FLOSS - FireEye Labs Solver String Solver ใช้เทคนิคการวิเคราะห์แบบคงที่ขั้นสูงในการแยกสตริง deobfuscate โดยอัตโนมัติจาก Malware Binaries
  • Nomorexor - เดาคีย์ XOR 256 ไบต์โดยใช้การวิเคราะห์ความถี่
  • PackerAttacker - ตัวแยกรหัสที่ซ่อนอยู่ทั่วไปสำหรับมัลแวร์ Windows
  • Pyinstaller Extractor - สคริปต์ Python เพื่อแยกเนื้อหาของไฟล์ปฏิบัติการ Windows ที่สร้างขึ้นได้ เนื้อหาของไฟล์ PYZ (โดยปกติจะเป็นไฟล์ PYC) ที่มีอยู่ภายในที่เรียกใช้งานจะถูกแยกและแก้ไขโดยอัตโนมัติเพื่อให้ decompiler python bytecode จะรับรู้ได้
  • uncompyle6 - decompiler bytecode cross -version bytecode แปล Python bytecode กลับไปเป็นซอร์สโค้ด Python ที่เทียบเท่า
  • UN {i} Packer - UNPACKER อัตโนมัติและแพลตฟอร์มที่ไม่ขึ้นกับแพลตฟอร์มสำหรับ Windows Binaries ตามการจำลอง
  • UNPACKER - มัลแวร์อัตโนมัติ UNPACKER สำหรับ Windows Malware ตาม WinAppDBG
  • Unxor - Guess Xor Keys โดยใช้การโจมตีที่รู้จักกันดี
  • VirtualDeObFuscator - เครื่องมือวิศวกรรมย้อนกลับสำหรับ wrappers เสมือนจริง
  • Xorbruteforcer - สคริปต์ Python สำหรับการบังคับใช้ปุ่ม XOR แบบไบต์เดี่ยว
  • Xorsearch & Xorstrings - โปรแกรมสองสามโปรแกรมจาก Didier Stevens สำหรับการค้นหาข้อมูล Xored
  • Xortool - เดาความยาวคีย์ XOR รวมถึงกุญแจเอง

การดีบักและวิศวกรรมย้อนกลับ

แยกชิ้นส่วน, debuggers และเครื่องมือการวิเคราะห์แบบคงที่และแบบไดนามิกอื่น ๆ

  • Angr - กรอบการวิเคราะห์ไบนารีแพลตฟอร์มที่พัฒนาขึ้นที่ Seclab ของ UCSB
  • BAMFDETECT - ระบุและแยกข้อมูลจากบอทและมัลแวร์อื่น ๆ
  • BAP - กรอบการวิเคราะห์ไบนารีแบบหลายทัศนคติและโอเพ่นซอร์ส (MIT) พัฒนาขึ้นที่ทรงกระบอกของ CMU
  • BARF - Multiplatform, Open Source Binary Analysis และ Reverse Engineering Framework
  • Binnavi - การวิเคราะห์ไบนารี IDE สำหรับวิศวกรรมย้อนกลับตามการสร้างภาพกราฟ
  • Binary Ninja - แพลตฟอร์มวิศวกรรมย้อนกลับที่เป็นทางเลือกสำหรับ IDA
  • BINWALK - เครื่องมือวิเคราะห์เฟิร์มแวร์
  • BluePill - เฟรมเวิร์กสำหรับการดำเนินการและการดีบักมัลแวร์ evasive และการดำเนินการที่ได้รับการป้องกัน
  • Capstone - กรอบการถอดประกอบสำหรับการวิเคราะห์แบบไบนารีและการย้อนกลับด้วยการสนับสนุนสถาปัตยกรรมและการผูกในหลายภาษา
  • Codebro - เบราว์เซอร์รหัสบนเว็บโดยใช้ Clang เพื่อให้การวิเคราะห์รหัสพื้นฐาน
  • Cutter - GUI สำหรับ radare2
  • DECAF (กรอบการวิเคราะห์รหัสปฏิบัติการแบบไดนามิก) - แพลตฟอร์มการวิเคราะห์แบบไบนารีตาม QEMU Droidscope ตอนนี้เป็นส่วนขยายของ Decaf
  • DNSPY -. NET Exsembly Editor, Decompiler และ Debugger
  • DOTPEEK - เบราว์เซอร์และเบราว์เซอร์แอสเซมบลีฟรี
  • Evan's Debugger (EDB) - ตัวดีบักแบบแยกส่วนกับ QT GUI
  • Fibratus - เครื่องมือสำหรับการสำรวจและการติดตามเคอร์เนล Windows
  • Fport - รายงานพอร์ตเปิด TCP/IP และ UDP ในระบบสดและแม็พกับแอปพลิเคชันที่เป็นเจ้าของ
  • GDB - ตัวดีบัก GNU
  • GEF - GDB คุณสมบัติที่ได้รับการปรับปรุงสำหรับผู้หาประโยชน์และวิศวกรย้อนกลับ
  • GHIDRA - เฟรมเวิร์กวิศวกรรมย้อนกลับซอฟต์แวร์ (SRE) ที่สร้างและบำรุงรักษาโดยคณะกรรมการวิจัยความมั่นคงแห่งชาติ
  • Hackers -Grep - ยูทิลิตี้เพื่อค้นหาสตริงใน PE Executables รวมถึงการนำเข้าการส่งออกและสัญลักษณ์การดีบัก
  • Hopper - MacOS และ Linux Disassembler
  • IDA Pro - Windows Disassembler และ Debugger พร้อมเวอร์ชันการประเมินฟรี
  • IDR - Interactive Delphi Reconstructor เป็นตัวถอดรหัสของไฟล์ปฏิบัติการ Delphi และไลบรารีแบบไดนามิก
  • Immunity Debugger - ดีบักเกอร์สำหรับการวิเคราะห์มัลแวร์และอื่น ๆ ด้วย Python API
  • ILSPY - ILSPY เป็นเบราว์เซอร์แอสเซมบลีโอเพนซอร์ซและ decompiler
  • Kaitai struct - DSL สำหรับรูปแบบไฟล์ / โปรโตคอลเครือข่าย / โครงสร้างข้อมูลวิศวกรรมย้อนกลับและการผ่าด้วยการสร้างรหัสสำหรับ C ++, C#, Java, JavaScript, Perl, PHP, Python, Ruby
  • Lief - Lief จัดเตรียมห้องสมุดข้ามแพลตฟอร์มเพื่อแยกวิเคราะห์แก้ไขและเป็นนามธรรมเอลฟ์รูปแบบ PE และ Macho
  • Ltrace - การวิเคราะห์แบบไดนามิกสำหรับ Linux Executables
  • Mac-A-Mal-เฟรมเวิร์กอัตโนมัติสำหรับการล่ามัลแวร์ MAC
  • Objdump - ส่วนหนึ่งของ GNU binutils สำหรับการวิเคราะห์แบบคงที่ของไบนารี Linux
  • OLLYDBG - ดีบักเกอร์ระดับแอสเซมบลีสำหรับ Executables Windows
  • Ollydumpex - หน่วยความจำถ่ายโอนข้อมูลจาก (unpacked) กระบวนการมัลแวร์ Windows และจัดเก็บไฟล์ RAW หรือสร้างใหม่ PE นี่คือปลั๊กอินสำหรับ Ollydbg, Immunity Debugger, IDA Pro, Windbg และ X64DBG
  • แพนด้า - แพลตฟอร์มสำหรับการวิเคราะห์แบบไดนามิกที่เป็นกลางสถาปัตยกรรม
  • Peda - Python ใช้ประโยชน์จากการพัฒนาความช่วยเหลือสำหรับ GDB ซึ่งเป็นคำสั่งที่เพิ่มขึ้นพร้อมคำสั่งเพิ่มเติม
  • Pestudio - ทำการวิเคราะห์แบบคงที่ของ Windows Executables
  • Pharos - เฟรมเวิร์กการวิเคราะห์ไบนารีของ Pharos สามารถใช้เพื่อทำการวิเคราะห์แบบคงที่อัตโนมัติของไบนารี
  • พลาสม่า - การถอดความแบบอินเทอร์แอคทีฟสำหรับ x86/arm/mips
  • PPEE (ลูกสุนัข) - Explorer ไฟล์ PE PECORDER สำหรับผู้ย้อนกลับนักวิจัยมัลแวร์และผู้ที่ต้องการตรวจสอบไฟล์ PE แบบคงที่ในรายละเอียดเพิ่มเติม
  • Process Explorer - Advanced Task Manager สำหรับ Windows
  • ประมวลผลแฮ็กเกอร์ - เครื่องมือที่ตรวจสอบทรัพยากรของระบบ
  • การตรวจสอบกระบวนการ - เครื่องมือตรวจสอบขั้นสูงสำหรับโปรแกรม Windows
  • Pstools - เครื่องมือบรรทัดคำสั่ง Windows ที่ช่วยจัดการและตรวจสอบระบบสด
  • Pyew - เครื่องมือ Python สำหรับการวิเคราะห์มัลแวร์
  • Pyrebox - Sandbox วิศวกรรมย้อนกลับของ Python ได้โดยทีม Talos ที่ Cisco
  • Qiling Framework - การจำลองแพลตฟอร์มข้ามและ Sanboxing Framework พร้อมเครื่องมือสำหรับการวิเคราะห์แบบไบนารี
  • qkd - qemu พร้อมเซิร์ฟเวอร์ Windbg ฝังตัวสำหรับการดีบัก stealth
  • Radare2 - กรอบวิศวกรรมย้อนกลับพร้อมการสนับสนุนดีบักเกอร์
  • Regshot - รีจิสทรีเปรียบเทียบยูทิลิตี้ที่เปรียบเทียบสแน็ปช็อต
  • Retdec - decompiler รหัสเครื่องที่กำหนดเป้าหมายได้พร้อมบริการ decompilation ออนไลน์และ API ที่คุณสามารถใช้ในเครื่องมือของคุณ
  • Ropmemu - กรอบการวิเคราะห์การแยกและแยกการโจมตีรหัสที่ซับซ้อน
  • Scylla นำเข้า Reconstructor - ค้นหาและแก้ไข IAT ของมัลแวร์ PE32 ที่ไม่ได้บรรจุ / ทิ้ง
  • SCYLLAHIDE-ห้องสมุดต่อต้านแอนตี้-เดบั๊กและปลั๊กอินสำหรับ OLLYDBG, X64DBG, IDA PRO และ TITANENGINE
  • SMRT - Sublime Malware Research Tool ซึ่งเป็นปลั๊กอินสำหรับ Sublime 3 เพื่อช่วยในการวิเคราะห์มัลแวร์
  • Strace - การวิเคราะห์แบบไดนามิกสำหรับ Linux Executables
  • Stringsifter - เครื่องมือการเรียนรู้ของเครื่องที่จัดอันดับสตริงโดยอัตโนมัติตามความเกี่ยวข้องของพวกเขาสำหรับการวิเคราะห์มัลแวร์
  • Triton - กรอบการวิเคราะห์ไบนารีแบบไดนามิก (DBA)
  • UDIS86 - ไลบรารีและเครื่องมือแยกชิ้นส่วนสำหรับ X86 และ X86_64
  • Vivisect - เครื่องมือ Python สำหรับการวิเคราะห์มัลแวร์
  • Windbg - ดีบักเกอร์อเนกประสงค์สำหรับระบบปฏิบัติการคอมพิวเตอร์ Microsoft Windows ที่ใช้ในการดีบักแอปพลิเคชันโหมดผู้ใช้ไดรเวอร์อุปกรณ์และหน่วยความจำโหมดเคอร์เนล
  • x64dbg - ดีบักโอเพ่นซอร์ส x64/x32 ดีบักสำหรับ Windows

เครือข่าย

วิเคราะห์การโต้ตอบเครือข่าย

  • Bro - Protocol Analyzer ที่ทำงานในระดับที่เหลือเชื่อ ทั้งไฟล์และเครือข่ายโปรโตคอล
  • Broyara - ใช้กฎของ Yara จาก Bro
  • Captipper - HTTP Traffic Explorer ที่เป็นอันตราย
  • Chopshop - การวิเคราะห์โปรโตคอลและกรอบการถอดรหัส
  • CloudShark - เครื่องมือบนเว็บสำหรับการวิเคราะห์แพ็คเก็ตและการตรวจจับการจราจรของมัลแวร์
  • Fakenet -NG - เครื่องมือวิเคราะห์เครือข่ายแบบไดนามิกรุ่นต่อไป
  • Fiddler - การสกัดกั้นเว็บพร็อกซีที่ออกแบบมาสำหรับ "การดีบักเว็บ"
  • Hale - Botnet C&C Monitor
  • Haka - ภาษาที่มุ่งเน้นความปลอดภัยโอเพนซอร์สสำหรับการอธิบายโปรโตคอลและใช้นโยบายความปลอดภัยในการรับส่งข้อมูล
  • HTTPREPLAY - ไลบรารีสำหรับการแยกวิเคราะห์และอ่านไฟล์ PCAP รวมถึงสตรีม TLS โดยใช้ TLS Master Secrets (ใช้ใน Cuckoo Sandbox)
  • InetSim - การจำลองบริการเครือข่ายมีประโยชน์เมื่อสร้างห้องปฏิบัติการมัลแวร์
  • Laika Boss - Laika Boss เป็นการวิเคราะห์มัลแวร์เป็นศูนย์กลางและระบบตรวจจับการบุกรุก
  • Malcolm - Malcolm เป็นชุดเครื่องมือวิเคราะห์การจราจรเครือข่ายที่มีประสิทธิภาพและปรับใช้งานได้ง่ายสำหรับสิ่งประดิษฐ์การจับแพ็กเก็ตแบบเต็มรูปแบบ (ไฟล์ PCAP) และบันทึก ZEEK
  • Malcom - Malware Communications Analyzer
  • Maltrail - ระบบตรวจจับการจราจรที่เป็นอันตรายโดยใช้รายการที่เปิดเผยต่อสาธารณะ (สีดำ) ที่มีเส้นทางที่เป็นอันตรายและ/หรือโดยทั่วไปที่น่าสงสัยและมีการรายงานและการวิเคราะห์อินเทอร์เฟซ
  • MITMPROXY - สกัดกั้นการรับส่งข้อมูลเครือข่ายได้ทันที
  • Moloch - ระบบการจับจราจรการจัดทำดัชนีและฐานข้อมูล IPv4
  • NetworkMiner - เครื่องมือวิเคราะห์นิติวิทยาศาสตร์เครือข่ายพร้อมเวอร์ชันฟรี
  • NGREP - ค้นหาผ่านการรับส่งข้อมูลเครือข่ายเช่น GREP
  • PCAPVIZ - ทอพอโลยีเครือข่ายและการจราจร Visualizer
  • Python ICAP YARA - เซิร์ฟเวอร์ ICAP พร้อมเครื่องสแกน YARA สำหรับ URL หรือเนื้อหา
  • Squidmagic - Squidmagic เป็นเครื่องมือที่ออกแบบมาเพื่อวิเคราะห์ทราฟฟิกเครือข่ายบนเว็บเพื่อตรวจจับเซิร์ฟเวอร์คำสั่งและการควบคุมส่วนกลาง (C&C) และไซต์ที่เป็นอันตรายโดยใช้เซิร์ฟเวอร์พร็อกซี Squid Proxy และ Spamhaus
  • TCPDUMP - รวบรวมทราฟฟิกเครือข่าย
  • TCPICK - trach และ rememble tcp สตรีมจากทราฟฟิกเครือข่าย
  • TCPXTRACT - แยกไฟล์จากทราฟฟิกเครือข่าย
  • Wireshark - เครื่องมือวิเคราะห์การจราจรเครือข่าย

หน่วยความจำนิติวิทยาศาสตร์

เครื่องมือสำหรับการผ่ามัลแวร์ในภาพหน่วยความจำหรือระบบการทำงาน

  • แบล็กไลท์ - ไคลเอนต์ Windows/MacOS Forensics ที่รองรับ hiberfil, pagefile, การวิเคราะห์หน่วยความจำดิบ
  • Damm - การวิเคราะห์ที่แตกต่างของมัลแวร์ในหน่วยความจำที่สร้างขึ้นจากความผันผวน
  • Evolve - เว็บอินเตอร์เฟสสำหรับกรอบการทำงานของหน่วยความจำความผันผวน
  • Findaes - ค้นหาปุ่มเข้ารหัส AES ในหน่วยความจำ
  • invtero.net - กรอบการวิเคราะห์หน่วยความจำความเร็วสูงที่พัฒนาขึ้นใน. NET รองรับ Windows X64 ทั้งหมดรวมถึงความสมบูรณ์ของรหัสและการสนับสนุนการเขียน
  • Muninn - สคริปต์เพื่อทำการวิเคราะห์โดยอัตโนมัติโดยใช้ความผันผวนและสร้างรายงานที่อ่านได้ OROCHI - OROCHI เป็นเฟรมเวิร์กโอเพ่นซอร์สสำหรับการวิเคราะห์การถ่ายโอนข้อมูลหน่วยความจำทางนิติวิทยาศาสตร์ร่วมกัน
  • Rekall - กรอบการวิเคราะห์หน่วยความจำซึ่งแยกจากความผันผวนในปี 2013
  • TotalRecall - สคริปต์ขึ้นอยู่กับความผันผวนสำหรับงานการวิเคราะห์มัลแวร์ต่างๆโดยอัตโนมัติ
  • Voldiff - เรียกใช้ความผันผวนบนภาพหน่วยความจำก่อนและหลังการดำเนินการมัลแวร์และรายงานการเปลี่ยนแปลง
  • ความผันผวน - กรอบการทำงานของหน่วยความจำขั้นสูง
  • Volutility - Web Interface สำหรับกรอบการวิเคราะห์หน่วยความจำความผันผวน
  • WDBGARK - ส่วนขยาย Anti -Rootkit WINDBG
  • Windbg - การตรวจสอบความทรงจำสดและการดีบักเคอร์เนลสำหรับระบบ Windows

สิ่งประดิษฐ์ของ Windows

  • ACHOIR - สคริปต์การตอบสนองของเหตุการณ์สดสำหรับการรวบรวมสิ่งประดิษฐ์ Windows
  • Python -Evt - Library Python สำหรับการแยกวิเคราะห์บันทึกเหตุการณ์ Windows
  • Python -Registry - Library Python สำหรับการแยกวิเคราะห์ไฟล์รีจิสทรี
  • Regripper (GitHub) - เครื่องมือวิเคราะห์รีจิสทรีที่ใช้ปลั๊กอิน

การจัดเก็บและเวิร์กโฟลว์

  • Aleph - ระบบการวิเคราะห์มัลแวร์โอเพนซอร์ส
  • Crits - การวิจัยร่วมกันเกี่ยวกับภัยคุกคามมัลแวร์และที่เก็บข้อมูลภัยคุกคาม
  • FAME-กรอบการวิเคราะห์มัลแวร์ที่มีท่อที่สามารถขยายได้ด้วยโมดูลที่กำหนดเองซึ่งสามารถถูกล่ามโซ่และโต้ตอบซึ่งกันและกันเพื่อทำการวิเคราะห์แบบ end-to-end
  • Malwarehouse - ร้านค้าแท็กและมัลแวร์ค้นหา
  • Polichombr - แพลตฟอร์มการวิเคราะห์มัลแวร์ที่ออกแบบมาเพื่อช่วยนักวิเคราะห์ในการย้อนกลับมัลแวร์ร่วมกัน
  • STOQ - กรอบการวิเคราะห์เนื้อหาแบบกระจายพร้อมการสนับสนุนปลั๊กอินที่กว้างขวางตั้งแต่อินพุตไปจนถึงเอาต์พุตและทุกอย่างในระหว่างนั้น
  • Viper - กรอบการจัดการและการวิเคราะห์แบบไบนารีสำหรับนักวิเคราะห์และนักวิจัย

เบ็ดเตล็ด

  • Al-Khaser-มัลแวร์ POC ที่มีความตั้งใจดีที่จะเน้นระบบต่อต้านมัลแวร์
  • Cryptoknight - อัลกอริทึมการเข้ารหัสลับอัตโนมัติวิศวกรรมย้อนกลับและกรอบการจำแนกประเภท
  • DC3 -MWCP - เฟรมเวิร์กการกำหนดค่าการกำหนดค่ามัลแวร์ของ Cyber ​​Crime Center
  • Flare VM - การกระจายความปลอดภัยที่ปรับแต่งได้อย่างสมบูรณ์แบบ Windows สำหรับการวิเคราะห์มัลแวร์
  • MALSPLOITBASE - ฐานข้อมูลที่มีการหาประโยชน์ที่ใช้โดยมัลแวร์
  • พิพิธภัณฑ์มัลแวร์ - คอลเลกชันของโปรแกรมมัลแวร์ที่จัดจำหน่ายในปี 1980 และ 1990
  • Malware Organizer - เครื่องมือง่ายๆในการจัดระเบียบไฟล์ที่เป็นอันตราย/อ่อนโยนขนาดใหญ่ลงในโครงสร้างที่จัดระเบียบ
  • Pafish - Paranoid Fish เครื่องมือสาธิตที่ใช้เทคนิคต่าง ๆ ในการตรวจจับกล่องทรายและสภาพแวดล้อมการวิเคราะห์ในลักษณะเดียวกับที่ครอบครัวมัลแวร์ทำ
  • Remnux - ภาพการกระจาย Linux และ Docker สำหรับมัลแวร์ย้อนกลับวิศวกรรมและการวิเคราะห์
  • Tsurugi Linux - การกระจาย Linux ที่ออกแบบมาเพื่อรองรับการตรวจสอบ DFIR ของคุณการวิเคราะห์มัลแวร์และกิจกรรม OSINT (Open Source Intelligence)
  • Santoku Linux - การกระจาย Linux สำหรับนิติเวชมือถือการวิเคราะห์มัลแวร์และความปลอดภัย

ทรัพยากร

หนังสือ

วัสดุการอ่านการวิเคราะห์มัลแวร์ที่จำเป็น

  • การเรียนรู้การวิเคราะห์มัลแวร์ - การเรียนรู้การวิเคราะห์มัลแวร์: สำรวจแนวคิดเครื่องมือและเทคนิคต่าง ๆ ในการวิเคราะห์และตรวจสอบมัลแวร์ Windows
  • ตำราอาหารและดีวีดีของนักวิเคราะห์มัลแวร์ - เครื่องมือและเทคนิคสำหรับการต่อสู้กับรหัสที่เป็นอันตราย
  • การวิเคราะห์มัลแวร์การเรียนรู้ - การวิเคราะห์มัลแวร์การเรียนรู้: คู่มือนักวิเคราะห์มัลแวร์ที่สมบูรณ์เพื่อต่อสู้กับซอฟต์แวร์ที่เป็นอันตราย, APT, CyberCime และการโจมตี IoT
  • การเรียนรู้วิศวกรรมย้อนกลับ - การเรียนรู้วิศวกรรมย้อนกลับ: วิศวกรใหม่
  • การวิเคราะห์มัลแวร์ที่ใช้งานได้จริง - คู่มือปฏิบัติงานเพื่อผ่าซอฟต์แวร์ที่เป็นอันตราย
  • วิศวกรรมย้อนกลับภาคปฏิบัติ - วิศวกรรมย้อนกลับระดับกลาง
  • นิติวิทยาศาสตร์ดิจิตอลจริง - ความปลอดภัยของคอมพิวเตอร์และการตอบสนองของเหตุการณ์
  • Rootkits และ Bootkits - Rootkits และ Bootkits: การย้อนกลับมัลแวร์สมัยใหม่และภัยคุกคามรุ่นต่อไป
  • ศิลปะของหน่วยความจำนิติวิทยาศาสตร์ - การตรวจจับมัลแวร์และภัยคุกคามในหน่วยความจำ Windows, Linux และ Mac
  • หนังสือ IDA Pro - คู่มือที่ไม่เป็นทางการสำหรับการถอดชิ้นส่วนที่ได้รับความนิยมมากที่สุดในโลก
  • The Rootkit Arsenal - The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System

อื่น

  • APT Notes - A collection of papers and notes related to Advanced Persistent Threats.
  • Ember - Endgame Malware BEnchmark for Research, a repository that makes it easy to (re)create a machine learning model that can be used to predict a score for a PE file based on static analysis.
  • File Formats posters - Nice visualization of commonly used file format (including PE & ELF).
  • Honeynet Project - Honeypot tools, papers, and other resources.
  • Kernel Mode - An active community devoted to malware analysis and kernel development.
  • Malicious Software - Malware blog and resources by Lenny Zeltser.
  • Malware Analysis Search - Custom Google search engine from Corey Harrell.
  • Malware Analysis Tutorials - The Malware Analysis Tutorials by Dr. Xiang Fu, a great resource for learning practical malware analysis.
  • Malware Analysis, Threat Intelligence and Reverse Engineering - Presentation introducing the concepts of malware analysis, threat intelligence and reverse engineering. Experience or prior knowledge is not required. Labs link in description.
  • Malware Persistence - Collection of various information focused on malware persistence: detection (techniques), response, pitfalls and the log collection (tools).
  • Malware Samples and Traffic - This blog focuses on network traffic related to malware infections.
  • Malware Search+++ Firefox extension allows you to easily search some of the most popular malware databases
  • Practical Malware Analysis Starter Kit - This package contains most of the software referenced in the Practical Malware Analysis book.
  • RPISEC Malware Analysis - These are the course materials used in the Malware Analysis course at at Rensselaer Polytechnic Institute during Fall 2015.
  • WindowsIR: Malware - Harlan Carvey's page on Malware.
  • Windows Registry specification - Windows registry file format specification.
  • /r/csirt_tools - Subreddit for CSIRT tools and resources, with a malware analysis flair.
  • /r/Malware - The malware subreddit.
  • /r/ReverseEngineering - Reverse engineering subreddit, not limited to just malware.

Related Awesome Lists

  • Android Security
  • AppSec
  • CTFs
  • Executable Packing
  • นิติวิทยาศาสตร์
  • "Hacking"
  • Honeypots
  • Industrial Control System Security
  • Incident-Response
  • Infosec
  • PCAP Tools
  • Pentesting
  • ความปลอดภัย
  • Threat Intelligence
  • YARA

การบริจาค

Pull requests and issues with suggestions are welcome! Please read the CONTRIBUTING guidelines before submitting a PR.

ขอบคุณ

This list was made possible by:

  • Lenny Zeltser and other contributors for developing REMnux, where I found many of the tools in this list;
  • Michail Hale Ligh, Steven Adair, Blake Hartstein, and Mather Richard for writing the Malware Analyst's Cookbook , which was a big inspiration for creating the list;
  • And everyone else who has sent pull requests or suggested links to add here!

ขอบคุณ!

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด