awesome malware analysis

精心策劃的令人敬畏的惡意軟件分析工具和資源清單。靈感來自Awesome-Python和Awesome-PHP。

• 惡意軟件收集
  • 匿名者
  • 蜜罐
  • 惡意軟件公司
• 開源威脅情報
  • 工具
  • 其他資源
• 檢測和分類
• 在線掃描儀和沙箱
• 域分析
• 瀏覽器惡意軟件
• 文檔和外殼
• 文件雕刻
• DEOBFUSCATION
• 調試和反向工程
• 網絡
• 內存取證
• 窗戶工件
• 存儲和工作流程
• 各種各樣的
• 資源
  • 圖書
  • 其他
• 相關的很棒列表
• 貢獻
• 謝謝

查看中文翻譯：惡意軟件分析大合集.md。

分析師的網絡流量匿名者。

• Anonymouse.org-一個免費的基於Web的匿名器。
• OpenVPN- VPN軟件和託管解決方案。
• Privoxy-具有某些隱私功能的開源代理服務器。
• tor-洋蔥路由器，用於瀏覽網絡而不留下客戶端IP的痕跡。

陷阱並收集自己的樣品。

• Conpot -ICS/Scada Honeypot。
• Cowrie -SSH Honeypot，基於Kippo。
• Demohunter-低相互作用分佈的蜜罐。
• Dionaea -Honeypot旨在捕獲惡意軟件。
• GlastOpf -Web應用程序蜜罐。
• Honeyd-創建虛擬蜜網。
• HoneyDrive -Honeypot Bundle Linux發行版。
• Honey -Trap-用於運行，監視和管理蜜罐的OpenSource系統。
• MHN -MHN是用於管理和數據收集蜜罐的集中式服務器。 MHN允許您快速部署傳感器並立即收集數據，可從整潔的Web界面查看。
• mnemosyne-蜜罐數據的標準器；支持Dionaea。
• 暴徒 - 相互作用的蜂蜜低點，用於調查惡意網站。

收集的惡意軟件樣本進行分析。

• 清潔MX-惡意軟件和惡意域的實時數據庫。
• CONTAGIO-最近的惡意軟件樣本和分析集。
• 利用數據庫 - 利用和殼牌碼樣本。
• Infosec -CERT -PA-惡意軟件樣本收集和分析。
• 詢問實驗室 - 惡意Microsoft文檔的可搜索語料庫。
• JavaScript Mallware Collection-將近40.000 JavaScript惡意軟件樣本的集合
• MALPEDIA-一種資源，可為惡意軟件調查提供快速識別和可操作的環境。
• Malshare-惡意軟件的大型存儲庫積極從惡意網站取消。
• ragpicker-基於插件的惡意軟件爬車手，具有預先分析和報告功能
• Thezoo-分析師的實時惡意軟件樣本。
• Tracker H3X-惡意軟件Corpus Tracker和惡意下載網站。
• VDUDDU惡意軟件存儲庫 - 各種惡意軟件文件和源代碼的收集。
• 病毒貝 - 基於社區的惡意軟件存儲庫和社交網絡。
• 病毒 - 惡意軟件數據庫，除Clamav以外，許多反惡意軟件程序都檢測到。
• Virusshare-惡意軟件存儲庫，需要註冊。
• VX Vault-惡意軟件樣本的主動收集。
• Zeltser的消息來源 - Lenny Zeltser匯總的惡意軟件樣本來源列表。
• 宙斯源代碼 - 宙斯特洛伊木馬的來源在2011年洩漏。
• VX Underground-大量的免費惡意軟件樣品集合。

收穫和分析IOC。

• Abushelper-一個開源框架，用於接收和重新分配濫用供稿和威脅英特爾。
• Alienvault開放威脅交換 - 共享和合作發展威脅情報。
• 合併 - 從公開可用來源收集威脅情報指標的工具。
• FileIntel-每個文件哈希繪製智能。
• HOSTINTEL-每個主機拉力智能。
• IntelMQ-使用消息隊列處理事件數據的證書工具。
• IOC編輯器 - XML IOC文件的免費編輯器。
• IOCextract-妥協（IOC）提取器，Python庫和命令行工具的高級指標。
• ioc_writer- python庫，用於使用Mandiant的OpenIOC對象。
• Malpipe-惡意軟件/IOC攝入和處理引擎，豐富了收集的數據。
• 巨大的Octo香料 - 以前稱為CIF（集體智能框架）。來自各個列表的匯總IOC。由CSIRT小工具基金會策劃。
• MISP- MISP項目策劃的惡意軟件信息共享平台。
• 脈動 - 免費，由社區驅動的威脅情報平台從開源供稿中收集IOC。
• Pyioce- Python OpenIOC編輯。
• RISKIQ-研究，連接，標記和共享IP和域。 （是用光的。）
• theakaggregator-匯總了許多來源的安全威脅，包括以下其他資源中列出的一些來源。
• 威脅連接-TC Open可讓您在免費社區的支持和驗證下查看和共享開源威脅數據。
• 威脅性 - 具有圖形可視化的威脅搜索引擎。
• 威脅 - 構建自動化威脅英特爾管道從Twitter，RSS，Github等採購。
• thealtracker-一個Python腳本，可根據IOC進行監視和生成一組Google自定義搜索引擎索引的警報。
• TIQ檢驗 - 威脅智能提要的數據可視化和統計分析。

威脅情報和IOC資源。

• AutoShun（列表） - SNORT插件和排名列表。
• BAMBENEK諮詢提要 - 基於惡意DGA算法的OSINT提要。
• Fidelis Barncat-廣泛的惡意軟件配置數據庫（必須請求訪問）。
• CI軍（列表） - 網絡安全區塊列表。
• 關鍵的堆棧 - 免費英特爾市場 - 免費的Intel聚合器，具有90多個供稿和超過120萬個指標的重複數據刪除。
• 網絡犯罪跟踪器 - 多個殭屍網絡活動跟踪器。
• FireEye IOC- FireEye公開共享的折衷指標。
• Firehol IP列表 - 350多個IP列表的分析，重點是攻擊，惡意軟件和濫用。進化，改變歷史，國家地圖，列出的IPS年齡，保留政策，重疊。
• HoneyDB-社區驅動的Honeypot傳感器數據收集和聚合。
• HPFEEDS-蜜罐飼料方案。
• Infosec -CERT -PA列表（IPS-域 - URL） - 集體列表服務。
• 詢問RepDB-來自各種開放聲譽來源的IOC連續匯總。
• 詢問IOCDB-來自各種博客，GitHub Repos和Twitter的IOC連續匯總。
• Internet Storm Center（DShield） - 具有Web API的日記和可搜索事件數據庫。 （非正式Python庫）。
• MALC0DE-可搜索的事件數據庫。
• 惡意軟件域列表 - 搜索和共享惡意URL。
• MetadeFender威脅智能供稿 - 來自MetadeFender Cloud的最高查找文件列表。
• OpenIOC-共享威脅情報的框架。
• 證明威脅情報 - 規則集等。 （以前是新興威脅。）
• 勒索軟件概述 - 勒索軟件概述列表，其中包含詳細信息，檢測和預防。
• Stix-結構化威脅信息表達式 - 標準化語言以表示和共享網絡威脅信息。 MITER的相關工作：
  • CAPEC-公共攻擊模式枚舉和分類
  • Cybox-網絡可觀察表達式
  • MAEC-惡意軟件屬性枚舉和表徵
  • 出租車 - 可信自動交換指標信息
• SystemLookup -SystemLookup託管了一系列列表，這些列表提供了有關合法和潛在不需要程序的組件的信息。
• 威脅者 - 威脅智能的數據挖掘門戶，並進行搜索。
• Threatrecon-搜索指標，每月最多免費。
• 威脅賣出-C2面板跟踪器
• Yara規則-Yara規則存儲庫。
• Yeti- Yeti是一個平台，旨在組織一個統一存儲庫中的威脅，妥協，TTP的指標，TTP和知識的指標。
• 宙斯追踪器 - 宙斯區塊列表。

防病毒和其他惡意軟件識別工具

• Analyzepe-包裝器，用於在Windows PE文件上報告各種工具。
• AssemblyLine-可擴展的文件分類和惡意軟件分析系統集成了網絡安全社區的最佳工具。
• BinaryAlert-一個開源的無服務器AWS管道，該管道根據一組Yara規則掃描和警報上傳文件。
• CAPA-檢測可執行文件中的功能。
• Chkrootkit-本地Linux rootkit檢測。
• Clamav-開源防病毒發動機。
• 檢測它簡單（DIE） - 一個用於確定文件類型的程序。
• 外觀PE-包裝器，壓縮機檢測器，拆卸信息，內部EXE工具。
• Exiftool-讀取，寫和編輯文件元數據。
• 文件掃描框架 - 模塊化，遞歸文件掃描解決方案。
• FN2YARA -FN2YARA是一種在可執行程序中生成Yara簽名（代碼）的工具。
• 通用文件解析器 - 單個庫解析器，用於提取元信息，靜態分析和檢測文件中的宏。
• Hashdeep-使用多種算法計算摘要。
• Hashcheck- Windows Shell擴展程序，以使用各種算法計算哈希。
• Loki-基於主機的IOC掃描儀。
• 故障 - 目錄並比較功能級別的惡意軟件。
• Manalyze- PE可釘的靜態分析儀。
• MASTIFF-靜態分析框架。
• Multiscanner-模塊化文件掃描/分析框架
• NAUZ文件檢測器（NFD） - Windows，Linux和MacOS的Linker/Compiler/tool detecter。
• Nsrllookup-一種用於查找NIST國家軟件參考庫數據庫中哈希的工具。
• Packerid-跨平台Python替代品。
• PE -BEAR- PE文件的反向工具。
• PEFRAME -PEFRAME是一種開源工具，可以對便攜式可執行惡意軟件和惡意MS Office文檔進行靜態分析。
• PEV-一個用於使用PE文件的乘法工具包，提供了適當分析可疑二進製文件的功能豐富的工具。
• Portex -Java庫分析PE文件，特別關注惡意軟件分析和PE畸形魯棒性。
• 夸克 - 引擎 - 混淆 - 否定的Android惡意軟件評分系統
• Rootkit Hunter-檢測Linux rootkit。
• SSDeep-計算模糊哈希。
• totalhash.py- python腳本，可輕鬆搜索totalhash.cymru.com數據庫。
• TRID-文件標識符。
• Yara-分析師的模式匹配工具。
• Yara規則生成器 - 基於一組惡意軟件樣本生成Yara規則。還包含一個良好的字符串DB，以避免誤報。
• Yara Finder- Yara的簡單工具與文件與各種Yara規則相匹配，以找到懷疑的指標。

基於Web的多AV掃描儀和惡意軟件沙箱，用於自動分析。

• anlyz.io-在線沙箱。
• any.run-在線交互式沙箱。
• Andrototal-針對多個移動防病毒應用程序的APK的免費在線分析。
• Boombox-使用Packer和Vagrant自動部署杜鵑沙盒惡意軟件實驗室。
• 加密 - 分析可疑的辦公文件。
• 杜鵑花盒 - 開源，自託管沙箱和自動分析系統。
• 杜鵑 - 修飾 - 在GPL下發布的杜鵑沙盒的修改版。由於作者的法律問題，沒有在上游合併。
• 杜鵑 - 修飾-API-用於控制杜鵑修飾的沙盒的Python API。
• DeepViz-具有機器學習分類的多格式文件分析儀。
• DETUX-開發了用於進行Linux Malwares和捕獲IOC的交通分析的沙盒。
• Drakvuf-動態惡意軟件分析系統。
• filescan.io-靜態惡意軟件分析，vba/powershell/vbs/js仿真
• 固件 - 拆卸，掃描和分析幾乎所有固件軟件包。
• HaboMalHunter-一種用於Linux Elf文件的自動化惡意軟件分析工具。
• 混合分析 - 在線惡意軟件分析工具，由VXSANDBOX提供支持。
• Intezer-通過識別代碼重複使用和代碼相似性來檢測，分析和分類惡意軟件。
• IRMA-可疑文件的異步和可自定義的分析平台。
• Joe Sandbox-帶有Joe Sandbox的深層惡意軟件分析。
• Jotti-免費的在線多AV掃描儀。
• 利蒙 - 用於分析Linux惡意軟件的沙箱。
• Malheur-惡意軟件行為的自動沙盒分析。
• MALICE.IO-大規模可擴展的惡意軟件分析框架。
• Malsub-用於在線惡意軟件和URL分析服務的Python Restful API框架。
• 惡意軟件配置 - 提取，解碼和在線顯示配置設置，從普通惡意軟件中進行。
• Malwareanalyser.io-在線基於惡意軟件異常分析儀，具有啟發式檢測引擎，由數據挖掘和機器學習提供動力。
• MALWR-通過在線杜鵑沙盒實例的免費分析。
• MetadeFender Cloud-免費的惡意軟件掃描文件，哈希，IP，URL或域地址。
• NetworkTotal-使用配備有新興atherats Pro的Suricata來分析PCAP文件並促進病毒，蠕蟲，特洛伊木馬和各種惡意軟件的快速檢測。
• Noriben-使用Sysinternals Procmon在沙盒環境中收集有關惡意軟件的信息。
• PACKETTOTAL -PACKETTOTAL是用於分析.pcap文件的在線引擎，並可視化其中的網絡流量。
• PDF審查員 - 分析可疑PDF文件。
• Procdot-圖形惡意軟件分析工具套件。
• Recomposer-一個安全腳本，可安全地將二進製文件上傳到沙箱站點。
• SandBoxapi- Python庫，用於與幾個開源和商業惡意軟件沙箱建造集成。
• 參見 - 沙盒執行環境（請參閱）是在有安全環境中構建測試自動化的框架。
• Sekoia滴管分析 - 在線滴管分析（JS，VBScript，Microsoft Office，PDF）。
• Virustotal-惡意軟件樣品和URL的免費在線分析
• 可visualize_logs-開源可視化庫和日誌命令行工具。 （杜鵑，procmon，還有更多...）
• Zeltser的列表 - Lenny Zeltser編輯的免費自動沙盒和服務。

檢查域和IP地址。

• Baushipdb -AbaudiPDB是一個致力於幫助互聯網上黑客，垃圾郵件發送者和濫用活動的項目。
• BADIPS.com-基於社區的IP黑名單服務。
• Boomerang-一種工具，旨在一致且安全地捕獲網絡網絡資源。
• Cymon-威脅智能跟踪器，具有IP/域/哈希搜索。
• DESENMASCARA.ME-一鍵單擊的工具，可以檢索盡可能多的元數據，以評估其良好的信譽。
• 挖掘 - 免費的在線挖掘和其他網絡工具。
• DNSTWIST-用於檢測錯別字蹲，網絡釣魚和公司間諜活動的域名置換引擎。
• ipinfo-通過搜索在線資源來收集有關IP或域的信息。
• Machinae- OSINT工具，用於收集有關URL，IPS或HASHES的信息。類似於Automator。
• MailChecker-跨語言臨時電子郵件檢測庫。
• Maltegovt -Maltego轉換Virustotal API。允許域/IP研究，並蒐索文件哈希和掃描報告。
• 多RBL-多個DNS黑名單和前進確認的反向DNS查找超過300個RBL。
• Normshield服務 - 免費的API服務，用於檢測可能的網絡釣魚域，黑名單的IP地址和違反帳戶。
• 網絡組織 - 搜索IP，域和網站標題的網絡釣魚統計數據
• Spyse-子域，WHOIS，REALTED域，DNS，主機為SSL/TLS信息，
• SecurityTrails-歷史和當前WHOI，歷史和當前DNS記錄，相似域，證書信息以及其他域以及與IP相關的API和工具。
• SPAMCOP-基於IP的垃圾郵件塊列表。
• Spamhaus-基於域和IP的塊列表。
• Sucuri Sitecheck-免費網站惡意軟件和安全掃描儀。
• Talos Intelligence-搜索IP，域或網絡所有者。 （以前的senderbase。）
• Tekdefense Automater- OSINT工具，用於收集有關URL，IPS或HASHES的信息。
• Urlhaus-一個來自abus.ch的項目，目的是共享用於惡意軟件發行的惡意URL。
• URLQUERY-免費URL掃描儀。
• URLSCAN.IO-免費的URL掃描儀和域信息。
• 哇 - Domaintools免費在線搜索。
• Zeltser的列表 - Lenny Zeltser編輯的有關惡意網站的免費在線工具。
• Zscalar Zulu -Zulu URL風險分析儀。

分析惡意網址。另請參見域分析以及文檔和殼牌座部分。

• Bytecode Viewer-將多個Java字節碼查看器和分解器組合到一個工具中，包括APK/DEX支持。
• Firebug-用於網絡開發的Firefox擴展。
• Java分解器 - 反編譯和檢查Java應用程序。
• Java IDX解析器 - 解析Java IDX緩存文件。
• JSDETOX- JAVASCRIPT惡意軟件分析工具。
• JSUNPACK -N-模擬瀏覽器功能的JavaScript解開器。
• Krakatau -Java分解器，彙編器和拆卸器。
• Malzilla-分析惡意網頁。
• RABCDASM-“強大的ActionScript字節碼拆卸器”。
• SWF研究者 - SWF應用的靜態和動態分析。
• swftools-用於使用Adobe Flash文件的工具。
• XXXSWF-用於分析閃存文件的Python腳本。

分析PDF和辦公文件中的惡意JS和ShellCode。另請參見“瀏覽器惡意軟件”部分。

• AnalyzePDF-一種用於分析PDF並試圖確定其是否惡意的工具。
• Box -JS-用於研究JavaScript惡意軟件的工具，具有JScript/WScript支持和ActiveX仿真。
• Distorm-分析惡意外殼的拆卸器。
• 查詢深度文件檢查 - 上傳常見的惡意軟件誘餌，以進行深度文件檢查和啟發式分析。
• JS Beautifier- JavaScript解開和DEOBFUSCATION。
• Libemu- X86殼碼仿真的庫和工具。
• MALPDFOBJ-將惡意PDF解構為JSON表示。
• OfficeMalsCanner-掃描MS Office文檔中的惡意痕跡。
• Olevba-用於解析OLE和OPENXML文檔並提取有用信息的腳本。
• 摺紙PDF-一種用於分析惡意PDF的工具，等等。
• PDF工具 - PDFID，PDF -Parser等來自Didier Stevens。
• PDF X射線Lite- PDF分析工具，PDF X射線的無後端版本。
• PEEPDF-用於探索可能是惡意PDF的Python工具。
• QuickSand -QuickSand是一個緊湊的C框架，可分析可疑的惡意軟件文檔，以識別不同編碼流中的利用，並找到和提取嵌入式的可執行文件。
• Spidermonkey- Mozilla的JavaScript引擎，用於調試惡意JS。

用於從內部磁盤和內存圖像中提取文件。

• bulk_extractor-快速文件雕刻工具。
• evtxtract-從原始二進制數據中雕刻Windows事件日誌文件。
• 首先 - 由美國空軍設計的文件雕刻工具。
• Hachoir3 -Hachoir是一個python庫，可以通過字段查看和編輯二進制流。
• 手術刀 - 另一個數據雕刻工具。
• sflock-嵌套的存檔提取/解開包裝（杜鵑沙盒中）。

反向XOR和其他代碼混淆方法。

• Balbuzard-一種用於逆轉混淆（XOR，ROL等）等的惡意軟件分析工具等。
• DE4DOT- .NET DEOBFUSCATOR和UNWACKER。
• EX_PE_XOR和IHEARTXOR- Alexander Hanel的兩個工具用於使用單字節XOR編碼文件。
• 牙線 - FireEye Labs混淆的字符串求解器使用先進的靜態分析技術來自動從惡意軟件二進制中脫離碰撞字符串。
• Nomorexor-使用頻率分析猜測256字節XOR鍵。
• PackerAttacker- Windows惡意軟件的通用隱藏代碼提取器。
• Pyinstaller Defactor-一個Python腳本，用於提取Pyinstaller生成的Windows可執行文件的內容。還會提取並自動修復了可執行文件中存在的PYZ文件（通常是PYC文件）的內容（通常是PYC文件），以便Python字節碼分解器可以識別它。
• uncompyle6-交叉python字節碼分解器。將Python字節碼轉換回等效的Python源代碼。
• Un {i} Packer-基於仿真的Windows二進製文件的自動和平台獨立的解紙條。
• Undacker-基於WinAppDBG的Windows惡意軟件的自動化惡意軟件解放式拆除式拆除件。
• unxor-使用已知的plaintext攻擊猜測XOR密鑰。
• VirtualDeoBfuscator-虛擬化包裝器的反向工程工具。
• Xorbruteforcer-野蠻的python腳本強迫單字節Xor鍵。
• Xorsearch＆Xorsrings-來自Didier Stevens的幾個程序，用於查找Xored數據。
• Xortool-猜測XOR密鑰長度以及密鑰本身。

拆卸器，調試器和其他靜態和動態分析工具。

• ANGR-在UCSB的seclab開發的平台 - 不足的二進制分析框架。
• BAMFDetect-從機器人和其他惡意軟件中標識並提取信息。
• BAP-在CMU的Cylab上開發的多平台和開源（MIT）二進制分析框架。
• BARF-多平台，開源二進制分析和反向工程框架。
• Binnavi-基於圖形可視化的逆向工程的二元分析IDE。
• 二進制忍者 - 一個反向工程平台，是IDA的替代品。
• Binwalk-固件分析工具。
• BluePill-用於執行和調試迴避惡意軟件和受保護可執行文件的框架。
• CAPSTONE-用於二進制分析和逆轉的拆卸框架，並支持多種語言的許多架構和綁定。
• CodeBro-基於Web的代碼瀏覽器使用Clang提供基本代碼分析。
• 刀具 - gui for radare2。
• DeCAF（動態可執行代碼分析框架） - 基於QEMU的二進制分析平台。 DroidScope現在已成為Decaf的擴展。
• DNSpy- .NET組裝編輯，分解器和調試器。
• dotpeek-免費.NET分解器和組裝瀏覽器。
• Evan的調試器（EDB） - 帶有QT GUI的模塊化調試器。
• Fibratus-用於探索和跟踪Windows內核的工具。
• FPORT-在實時系統中報告打開TCP/IP和UDP端口，並將其映射到擁有應用程序。
• GDB- GNU調試器。
• GEF -GDB增強功能，用於剝削者和反向工程師。
• Ghidra-由國家安全局研究局創建和維護的軟件逆向工程（SRE）框架。
• Hackers -Grep-在PE可執行文件中搜索字符串的實用性，包括導入，導出和調試符號。
• 霍珀 - MacOS和Linux拆卸器。
• IDA Pro- Windows拆卸器和調試器，並提供免費評估版本。
• IDR -Interactive Delphi重建器是Delphi可執行文件和動態庫的分解器。
• 免疫調試器 - 惡意軟件分析的調試器以及其他python API。
• ILSPY -ILSPY是開源.NET組件瀏覽器和反合式的。
• kaitai struct -DSL用於文件格式/網絡協議/數據結構反向工程和解剖，以及C ++，C＃，Java，Java，JavaScript，Perl，Perl，Php，Php，Python，Python，Ruby的代碼生成。
• Lief- Lief提供了一個跨平台庫來解析，修改和抽象精靈，PE和MACHO格式。
• Ltrace- Linux可執行文件的動態分析。
• MAC-A-MAL- MAC惡意軟件狩獵的自動框架。
• objdump- gnu binutils的一部分，用於靜態分析Linux二進製文件。
• OLLYDBG-用於Windows可執行文件的組裝級調試器。
• OLLYDUMPEX-（未包裝的）惡意軟件處理過程中的轉儲內存，並存儲RAW或REBUILD PE文件。這是用於OLLYDBG，免疫調試器，IDA PRO，WINDBG和X64DBG的插件。
• 熊貓 - 建築與中立動態分析平台。
• PEDA -Python為GDB開發開發援助，這是一個增強的顯示，並帶有添加命令。
• PESTUDIO-執行Windows可執行文件的靜態分析。
• Pharos- Pharos二進制分析框架可用於對二進制的自動靜態分析。
• 等離子體 - X86/ARM/MIPS的交互式拆卸器。
• PPEE（Puppy） - 一個專業的PE文件資源管理器，用於逆轉者，惡意軟件研究人員以及想要更詳細地檢查PE文件的人。
• 流程資源管理器 - Windows的高級任務管理器。
• 過程黑客 - 監視系統資源的工具。
• 流程監視器 - Windows程序的高級監視工具。
• PSTools- Windows命令行工具，可幫助管理和調查實時系統。
• Pyew-惡意軟件分析工具。
• Pyrebox-思科的Talos團隊的Python腳本可倒數工程沙盒。
• QILILE框架 - 跨平台仿真和sANBOXING框架，帶有二進制分析的儀器。
• QKD -QEMU帶有嵌入式WindBG服務器進行隱形調試。
• Radare2-逆向工程框架，並提供調試器支持。
• Regshot-註冊表比較比較快照的實用程序。
• retdec-可重新定位的機器代碼分解器具有在線解碼服務和API，您可以在工具中使用。
• ROPMEMU-一個用於分析，解剖和反編譯複雜代碼複製攻擊的框架。
• Scylla導入重建器 - 查找並修復了未包裝 /拋棄的PE32惡意軟件的IAT。
• Scyllahide-一個針對Ollydbg，X64DBG，IDA Pro和Titanengine的反式驅動庫和插件。
• SMRT -Sublime惡意軟件研究工具，用於幫助惡意軟件分析的Sublime 3的插件。
• strace- Linux可執行文件的動態分析。
• Stringsifter-一種機器學習工具，可以根據其與惡意軟件分析的相關性自動對字符串進行排名。
• Triton-動態二進制分析（DBA）框架。
• UDIS86- X86和X86_64的拆卸器庫和工具。
• Vivisect-惡意軟件分析工具。
• WINDBG- Microsoft Windows計算機操作系統的多功能調試器，用於調試用戶模式應用程序，設備驅動程序和內核模式內存轉儲。
• X64DBG- Windows的開源X64/X32調試器。

分析網絡交互。

• BRO-協議分析儀，以令人難以置信的規模運行；文件和網絡協議。
• Broyara-使用兄弟的Yara規則。
• 上尉 - 惡意HTTP交通資源管理器。
• Chopshop-協議分析和解碼框架。
• CloudShark-基於Web的工具，用於數據包分析和惡意軟件流量檢測。
• Fakenet -NG-下一代動態網絡分析工具。
• 提琴手 - 攔截專為“ Web調試”設計的Web代理。
• Hale -Botnet C＆C監視器。
• HAKA-一種以開源安全為導向的語言，用於描述協議並應用（LIVE）捕獲的流量的安全策略。
• httpreplay-用於解析和讀取PCAP文件的庫，包括使用TLS Master Secrets（在杜鵑花盒中使用）的TLS流。
• Inetsim-網絡服務仿真，構建惡意軟件實驗室時有用。
• Laika Boss -Laika Boss是一種以文件為中心的惡意軟件分析和入侵檢測系統。
• Malcolm -Malcolm是一個功能強大的，易於部署的網絡流量分析工具套件，用於完整的數據包捕獲工件（PCAP文件）和Zeek日誌。
• Malcom-惡意軟件通信分析儀。
• Maltrail-一種惡意的交通檢測系統，利用包含惡意和/或通常可疑步道的公開列表（黑色）列表，並具有報告和分析界面。
• MITMProxy-即時攔截網絡流量。
• Moloch -IPv4流量捕獲，索引和數據庫系統。
• NetworkMiner-免費版本的網絡法醫分析工具。
• NGREP-通過GREP等網絡流量進行搜索。
• PCAPVIZ-網絡拓撲和流量可視化器。
• Python ICAP Yara-帶有Yara掃描儀的ICAP服務器，用於URL或內容。
• SquidMagic -SquidMagic是一種工具，旨在分析基於Web的網絡流量，以使用Squid Proxy Server和Spamhaus來檢測中央命令和控制（C＆C）服務器和惡意站點。
• TCPDUMP-收集網絡流量。
• TCPICK-網絡流量中的Trach和ReasemerTCP流。
• tcpxtract-從網絡流量中提取文件。
• Wireshark-網絡流量分析工具。

在內存圖像或運行系統中解剖惡意軟件的工具。

• Blacklight -Windows/MacOS法醫客戶端支持Hiberfil，PageFile，原始內存分析。
• DAMM-基於波動率的記憶中惡意軟件的差分分析。
• Evolve -Web界面用於波動性內存取證框架。
• Findaes-在內存中找到AES加密密鑰。
• Invtero.net- .NET中開發的高速內存分析框架支持所有Windows X64，包括代碼完整性和寫支持。
• MUNINN-一個使用波動率自動化分析部分的腳本，並創建可讀報告。 Orochi -Orochi是用於協作法醫記憶轉儲分析的開源框架。
• REKALL-內存分析框架，從2013年的波動分叉。
• TotalRecall-基於波動率的腳本，用於自動化各種惡意軟件分析任務。
• Voldiff-惡意軟件執行前後，在內存圖像上運行波動，並報告更改。
• 波動率 - 高級內存取證框架。
• 自助率 - 波動性內存分析框架的Web界面。
• WDBGARK -WINDBG抗根源擴展。
• WindBG- Windows系統的實時內存檢查和內核調試。

• Achoir-用於收集Windows工件的實時事件響應腳本。
• Python -evt-用於解析Windows事件日誌的Python庫。
• Python -Registry-用於解析註冊表文件的Python庫。
• Regripper（GITHUB） - 基於插件的註冊表分析工具。

• Aleph-開源惡意軟件分析管道系統。
• 訴訟 - 關於威脅，惡意軟件和威脅存儲庫的協作研究。
• 名望 - 一個惡意軟件分析框架，其包含管道，可以使用自定義模塊進行擴展，該模塊可以鏈接並相互交互以執行端到端分析。
• 惡意軟件 - 存儲，標籤和搜索惡意軟件。
• POLICHOMBR-一個惡意軟件分析平台，旨在幫助分析師協作逆轉Malwares。
• STOQ-分佈式內容分析框架，具有廣泛的插件支持，從輸入到輸出以及兩者之間的所有內容。
• Viper-分析師和研究人員的二進制管理和分析框架。

• Al-Khaser-一種POC惡意軟件，具有良好的意圖，可以強調反惡意軟件系統。
• Cryptoknight-自動加密算法逆向工程和分類框架。
• DC3 -MWCP-國防網絡犯罪中心的惡意軟件配置解析器框架。
• Flare VM-一種完全可自定義的基於Windows的，用於惡意軟件分析的安全性。
• MALSPLOITBASE-一個包含惡意軟件使用的利用的數據庫。
• 惡意軟件博物館 - 1980年代和1990年代分發的惡意軟件計劃的集合。
• 惡意軟件組織者 - 將大型惡意/良性文件組織成有組織的結構的簡單工具。
• Pafish -Paranoid Fish是一種演示工具，它採用多種技術來檢測沙盒和分析環境，就像惡意軟件家族一樣。
• REMNUX-惡意軟件逆向工程和分析的Linux分發和Docker圖像。
• Tsurugi Linux -Linux發行版旨在支持您的DFIR調查，惡意軟件分析和OSINT（開源智能）活動。
• Santoku Linux-移動取證，惡意軟件分析和安全性的Linux發行版。

基本惡意軟件分析閱讀材料。

• 學習惡意軟件分析 - 學習惡意軟件分析：探索與Windows惡意軟件的概念，工具和技術
• 惡意軟件分析師的食譜和DVD-與惡意代碼作鬥爭的工具和技術。
• 掌握惡意軟件分析 - 掌握惡意軟件分析：完整的惡意軟件分析師指南，《對抗惡意軟件，APT，網絡電視和物聯網攻擊
• 掌握逆向工程 - 掌握逆向工程：重新設計您的道德黑客技巧
• 實用的惡意軟件分析 - 動手指南剖析惡意軟件。
• 實用的逆向工程 - 中間逆向工程。
• 真正的數字取證 - 計算機安全和事件響應。
• rootkits and Bootkit- rootkits and Bootkit：反向現代惡意軟件和下一代威脅
• 內存取證的藝術 - 檢測Windows，Linux和Mac內存中的惡意軟件和威脅。
• IDA專業書籍 - 世界上最受歡迎的拆卸器的非官方指南。
• Rootkit Arsenal- rootkit Arsenal：系統黑暗角落的逃生和逃避

• APT註釋 - 與高級持續威脅有關的論文和註釋集。
• Ember-最終遊戲惡意軟件基準用於研究，這是一個存儲庫，它使（重新）創建一個機器學習模型，該模型可用於基於靜態分析來預測PE文件的分數。
• 文件格式海報 - 常用文件格式（包括PE＆Elf）的良好可視化。
• 蜜網項目 - 蜜罐工具，論文和其他資源。
• 內核模式 - 致力於惡意軟件分析和內核開發的活躍社區。
• 惡意軟件 - 惡意軟件博客和Lenny Zeltser的資源。
• 惡意軟件分析搜索 - Corey Harrell的自定義Google搜索引擎。
• 惡意軟件分析教程 - Xiang Fu博士的惡意軟件分析教程，這是學習實用惡意軟件分析的重要資源。
• 惡意軟件分析，威脅智能和逆向工程 - 介紹介紹惡意軟件分析，威脅智能和逆向工程的概念。不需要經驗或先驗知識。描述中的實驗室鏈接。
• 惡意軟件持久性 - 集中於惡意軟件持久性的各種信息的收集：檢測（技術），響應，陷阱和日誌收集（工具）。
• 惡意軟件樣本和流量 - 此博客著重於與惡意軟件感染有關的網絡流量。
• 惡意軟件搜索+++ firefox擴展程序使您可以輕鬆搜索一些最受歡迎的惡意軟件數據庫
• 實用的惡意軟件分析入門套件 - 該軟件包包含實用惡意軟件分析書中引用的大多數軟件。
• RPISEC惡意軟件分析 - 這些是2015年秋季在Rensselaer理工學院的惡意軟件分析課程中使用的課程材料。
• Windowsir：惡意軟件 - 惡意軟件上的Harlan Carvey頁面。
• Windows註冊表規範 - Windows註冊文件格式規範。
• /r/csirt_tools -CSIRT工具和資源的子reddit，具有惡意軟件分析的能力。
• /r/惡意軟件 - 惡意軟件子雷迪特。
• /r/reververswineering-反向工程subreddit，不僅限於惡意軟件。

• Android安全
• AppSec
• CTFS
• 可執行的包裝
• 取證
• "駭客"
• 蜜罐
• 工業控制系統安全
• 事件響應
• Infosec
• PCAP工具
• 塞特
• 安全
• 威脅情報
• Yara

歡迎拉動請求和提出建議的問題！在提交公關之前，請閱讀貢獻指南。

此列表由以下方式提供：

• Lenny Zeltser和其他用於開發Remnux的貢獻者，我在此列表中找到了許多工具；
• Michail Hale Ligh，Steven Adair，Blake Hartstein和Mather Richard撰寫了惡意軟件分析師的食譜，這是創建列表的重要靈感。
• 還有其他所有發送拉動請求或建議鏈接的人都可以添加此處！

謝謝！