rshipp/awesome-malware-analysis

# 极佳的恶意软件分析 [](https://github.com/sindresorhus/awesome) 精选的极佳恶意软件分析工具和资源列表。灵感来源于 [awesome-python](https://github.com/vinta/awesome-python) 和 [awesome-php](https://github.com/ziadoz/awesome-php)。 [](https://twitter.com/githubbers/status/1182017616740663296) - [恶意软件收集](#malware-collection) - [匿名工具](#anonymizers) - [蜜罐](#honeypots) - [恶意软件语料库](#malware-corpora) - [开源威胁情报](#open-source-threat-intelligence) - [工具](#tools) - [其他资源](#other-resources) - [检测与分类](#detection-and-classification) - [在线扫描器和沙箱](#online-scanners-and-sandboxes) - [域名分析](#domain-analysis) - [浏览器恶意软件](#browser-malware) - [文档和 Shellcode](#documents-and-shellcode) - [文件雕刻](#file-carving) - [去混淆](#deobfuscation) - [调试与逆向工程](#debugging-and-reverse-engineering) - [网络](#network) - [内存取证](#memory-forensics) - [Windows 痕迹](#windows-artifacts) - [存储与工作流](#storage-and-workflow) - [杂项](#miscellaneous) - [资源](#resources) - [书籍](#books) - [其他](#other) - [相关的 Awesome 列表](#related-awesome-lists) - [贡献](#contributing) - [致谢](#thanks) 查看中文翻译：[恶意软件分析大合集.md](恶意软件分析大合集.md)。 ## 恶意软件收集 ### 匿名工具 *供分析师使用的 Web 流量匿名工具。* * [Anonymouse.org](http://anonymouse.org/) - 免费的基于 Web 的匿名器。 * [OpenVPN](https://openvpn.net/) - VPN 软件和托管解决方案。 * [Privoxy](http://www.privoxy.org/) - 具有一些隐私功能的开放源代码代理服务器。 * [Tor](https://www.torproject.org/) - 洋葱路由器，用于在不留下客户端 IP 痕迹的情况下浏览 Web。 ### 蜜罐 *诱捕并收集你自己的样本。* * [Conpot](https://github.com/mushorg/conpot) - ICS/SCADA 蜜罐。 * [Cowrie](https://github.com/micheloosterhof/cowrie) - 基于 Kippo 的 SSH 蜜罐。 * [DemoHunter](https://github.com/RevengeComing/DemonHunter) - 低交互式分布式蜜罐。 * [Dionaea](https://github.com/DinoTools/dionaea) - 专为诱捕恶意软件设计的蜜罐。 * [Glastopf](https://github.com/mushorg/glastopf) - Web 应用程序蜜罐。 * [Honeyd](http://www.honeyd.org/) - 创建虚拟蜜网。 * [HoneyDrive](https://bruteforce.gr/honeydrive/) - 蜜罐捆绑包 Linux 发行版。 * [Honeytrap](https://github.com/honeytrap/honeytrap) - 用于运行、监控和管理蜜罐的开源系统。 * [MHN](https://github.com/pwnlandia/mhn) - MHN 是一个用于蜜罐管理和数据收集的中央服务器。MHN 允许您快速部署传感器并立即收集数据，可通过整洁的 Web 界面查看。 * [Mnemosyne](https://github.com/johnnykv/mnemosyne) - 蜜罐数据的规范化工具；支持 Dionaea。 * [Thug](https://github.com/buffer/thug) - 用于调查恶意网站的低交互式蜜罐客户端。 ### 恶意软件语料库 *为分析而收集的恶意软件样本。* * [Clean MX](http://support.clean-mx.com/clean-mx/viruses.php) - 恶意软件和恶意域名的实时数据库。 * [Contagio](http://contagiodump.blogspot.com/) - 最新恶意软件样本和分析的集合。 * [Exploit Database](https://www.exploit-db.com/) - 漏洞利用和 shellcode 样本。 * [Infosec - CERT-PA](https://infosec.cert-pa.it/analyze/submission.html) - 恶意软件样本收集与分析。 * [InQuest Labs](https://labs.inquest.net) - 不断增长的可搜索恶意 Microsoft 文档语料库。 * [Javascript Mallware Collection](https://github.com/HynekPetrak/javascript-malware-collection) - 包含近 40,000 个 javascript 恶意软件样本的集合。 * [Malpedia](https://malpedia.caad.fkie.fraunhofer.de/) - 为恶意软件调查提供快速识别和可操作上下文的资源。 * [Malshare](https://malshare.com) - 从恶意网站主动抓取的大型恶意软件存储库。 * [Ragpicker](https://github.com/robbyFux/Ragpicker) - 基于插件的恶意软件爬虫，具备预分析和报告功能。 * [theZoo](https://github.com/ytisf/theZoo) - 提供给分析师的活体恶意软件样本。 * [Tracker h3x](http://tracker.h3x.eu/) - 恶意软件语料库追踪器和恶意下载站点的聚合器。 * [vduddu malware repo](https://github.com/vduddu/Malware) - 各种恶意软件文件和源代码的集合。 * [VirusBay](https://beta.virusbay.io/) - 基于社区的恶意软件存储库和社交网络。 * [ViruSign](http://www.virussign.com/) - 被 ClamAV 之外的许多反恶意软件程序检测到的恶意软件数据库。 * [VirusShare](https://virusshare.com/) - 恶意软件存储库，需要注册。 * [VX Vault](http://vxvault.net) - 主动收集的恶意软件样本。 * [Zeltser's Sources](https://zeltser.com/malware-sample-sources/) - 由 Lenny Zeltser 整理的恶意软件样本来源列表。 * [Zeus Source Code](https://github.com/Visgean/Zeus) - 2011 年泄露的 Zeus 木马源代码。 * [VX Underground](http://vx-underground.org/) - 海量且不断增长的免费恶意软件样本集合。 ## 开源威胁情报 ### 工具 *获取和分析 IOC。* * [AbuseHelper](https://github.com/abusesa/abusehelper) - 用于接收和重新分发滥用订阅源和威胁情报的开源框架。 * [AlienVault Open Threat Exchange](https://otx.alienvault.com/) - 分享和协作开发威胁情报。 * [Combine](https://github.com/mlsecproject/combine) - 从公开可用来源收集威胁情报指标的工具。 * [Fileintel](https://github.com/keithjjones/fileintel) - 按文件哈希提取情报。 * [Hostintel](https://github.com/keithjjones/hostintel) - 按主机提取情报。 * [IntelMQ](https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/incident-handling-automation) - 供 CERT 使用消息队列处理事件数据的工具。 * [IOC Editor](https://www.fireeye.com/services/freeware/ioc-editor.html) - XML IOC 文件的免费编辑器。 * [iocextract](https://github.com/InQuest/python-iocextract) - 高级入侵威胁指标 (IOC) 提取器，Python 库和命令行工具。 * [ioc_writer](https://github.com/mandiant/ioc_writer) - 用于处理来自 Mandiant 的 OpenIOC 对象的 Python 库。 * [MalPipe](https://github.com/silascutler/MalPipe) - 恶意软件/IOC 摄取和处理引擎，用于丰富收集的数据。 * [Massive Octo Spice](https://github.com/csirtgadgets/massive-octo-spice) - 以前称为 CIF（集体情报框架）。从各种列表中聚合 IOC。由 [CSIRT Gadgets Foundation](http://csirtgadgets.org/collective-intelligence-framework) 策划。 * [MISP](https://github.com/MISP/MISP) - 由 [The MISP Project](http://www.misp-project.org/) 策划的恶意软件信息共享平台。 * [Pulsedive](https://pulsedive.com) - 免费的、社区驱动的威胁情报平台，从开源订阅源收集 IOC。 * [PyIOCe](https://github.com/pidydx/PyIOCe) - 一个 Python OpenIOC 编辑器。 * [RiskIQ](https://community.riskiq.com/) - 研究、连接、标记和分享 IP 和域名。（原 PassiveTotal。） * [threataggregator](https://github.com/jpsenior/threataggregator) - 从多个来源聚合安全威胁，包括下面[其他资源](#other-resources)中列出的一些来源。 * [ThreatConnect](https://threatconnect.com/free/) - TC Open 允许您查看和分享开源威胁数据，并提供来自我们免费社区的支持和验证。 * [ThreatCrowd](https://www.threatcrowd.org/) - 带有图形可视化的威胁搜索引擎。 * [ThreatIngestor](https://github.com/InQuest/ThreatIngestor/) - 构建从 Twitter、RSS、GitHub 等来源获取情报的自动化威胁情报流水线。 * [ThreatTracker](https://github.com/michael-yip/ThreatTracker) - 一个 Python 脚本，用于根据一组 Google 自定义搜索引擎索引的 IOC 进行监控和生成警报。 * [TIQ-test](https://github.com/mlsecproject/tiq-test) - 威胁情报订阅源的数据可视化和统计分析。 ### 其他资源 *威胁情报和 IOC 资源。* * [Autoshun](https://www.autoshun.org/) ([列表](https://www.autoshun.org/files/shunlist.csv)) - Snort 插件和阻止列表。 * [Bambenek Consulting Feeds](http://osint.bambenekconsulting.com/feeds/) - 基于恶意 DGA 算法的 OSINT 订阅源。 * [Fidelis Barncat](https://www.fidelissecurity.com/resources/fidelis-barncat) - 广泛的恶意软件配置数据库（必须请求访问权限）。 * [CI Army](http://cinsscore.com/) ([列表](http://cinsscore.com/list/ci-badguys.txt)) - 网络安全阻止列表。 * [Critical Stack- Free Intel Market](https://intel.criticalstack.com) - 具有去重功能的免费情报聚合器，包含 90 多个订阅源和超过 120 万个指标。 * [Cybercrime tracker](http://cybercrime-tracker.net/) - 多个僵尸网络活动追踪器。 * [FireEye IOCs](https://github.com/fireeye/iocs) - FireEye 公开共享的入侵威胁指标。 * [FireHOL IP Lists](https://iplists.firehol.org/) - 针对 350 多个 IP 列表的分析，重点关注攻击、恶意软件和滥用。包括演变、变更历史、国家/地区地图、所列 IP 的存在时间、保留策略、重叠情况。 * [HoneyDB](https://riskdiscovery.com/honeydb) - 社区驱动的蜜罐传感器数据收集和聚合。 * [hpfeeds](https://github.com/rep/hpfeeds) - 蜜罐订阅源协议。 * [Infosec - CERT-PA lists](https://infosec.cert-pa.it/analyze/statistics.html) ([IPs](https://infosec.cert-pa.it/analyze/listip.txt) - [Domains](https://infosec.cert-pa.it/analyze/listdomains.txt) - [URLs](https://infosec.cert-pa.it/analyze/listurls.txt)) - 阻止列表服务。 * [InQuest REPdb](https://labs.inquest.net/repdb) - 持续聚合来自各种开放信誉来源的 IOC。 * [InQuest IOCdb](https://labs.inquest.net/iocdb) - 持续聚合来自各种博客、Github 存储库和 Twitter 的 IOC。 * [Internet Storm Center (DShield)](https://isc.sans.edu/) - 日记和可搜索的事件数据库，提供 Web [API](https://dshield.org/api/)。（[非官方 Python 库](https://github.com/rshipp/python-dshield)）。 * [malc0de](http://malc0de.com/database/) - 可搜索的事件数据库。 * [Malware Domain List](http://www.malwaredomainlist.com/) - 搜索和分享恶意 URL。 * [MetaDefender Threat Intelligence Feed](https://www.opswat.com/developers/threat-intelligence-feed) - MetaDefender Cloud 中查询最多的文件哈希列表。 * [OpenIOC](https://www.fireeye.com/services/freeware.html) - 用于共享威胁情报的框架。 * [Proofpoint Threat Intelligence](https://www.proofpoint.com/us/products/et-intelligence) - 规则集等。（原 Emerging Threats。） * [Ransomware overview](https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml) - 包含详细信息、检测和预防的勒索软件概述列表。 * [STIX - Structured Threat Information eXpression](http://stixproject.github.io) - 用于表示和共享网络威胁信息的标准化语言。[MITRE](https://www.mitre.org/) 的相关工作： - [CAPEC - Common Attack Pattern Enumeration and Classification](http://capec.mitre.org/) - [CybOX - Cyber Observables eXpression](http://cyboxproject.github.io) - [MAEC - Malware Attribute Enumeration and Characterization](http://maec.mitre.org/) - [TAXII - Trusted Automated eXchange of Indicator Information](http://taxiiproject.github.io) * [SystemLookup](https://www.systemlookup.com/) - SystemLookup 托管了一系列列表，提供有关合法和潜在不需要程序组件的信息。 * [ThreatMiner](https://www.threatminer.org/) - 用于威胁情报的数据挖掘门户，支持搜索。 * [threatRECON](https://threatrecon.co/) - 搜索指标，每月最多免费 1000 次。 * [ThreatShare](https://threatshare.io/) - C2 面板追踪器。 * [Yara rules](https://github.com/Yara-Rules/rules) - Yara 规则存储库。 * [YETI](https://github.com/yeti-platform/yeti) - Yeti 是一个旨在将可观测对象、入侵威胁指标、TTPs 和威胁知识组织到单一统一存储库中的平台。 * [ZeuS Tracker](https://zeustracker.abuse.ch/blocklist.php) - ZeuS 阻止列表。 ## 检测与分类 *杀毒软件和其他恶意识别工具* * [AnalyzePE](https://github.com/hiddenillusion/AnalyzePE) - 用于报告 Windows PE 文件的各种工具的封装器。 * [Assemblyline](https://cybercentrecanada.github.io/assemblyline4_docs/) - 一个可扩展的文件分类和恶意软件分析系统，集成了网络安全社区的最佳工具。 * [BinaryAlert](https://github.com/airbnb/binaryalert) - 一个开源的无服务器 AWS 流水线，可根据一组 YARA 规则扫描上传的文件并发出警报。 * [capa](https://github.com/fireeye/capa) - 检测可执行文件中的能力。 * [chkrootkit](http://www.chkrootkit.org/) - 本地 Linux rootkit 检测。 * [ClamAV](http://www.clamav.net/) - 开源杀毒引擎。 * [Detect It Easy(DiE)](https://github.com/horsicq/Detect-It-Easy) - 用于确定文件类型的程序。 * [Exeinfo PE](http://exeinfo.pe.hu/) - 加壳器、压缩器检测器，解包信息，内部 exe 工具。 * [ExifTool](https://sno.phy.queensu.ca/~phil/exiftool/) - 读取、写入和编辑文件元数据。 * [File Scanning Framework](https://github.com/EmersonElectricCo/fsf) - 模块化、递归的文件扫描解决方案。 * [fn2yara](https://github.com/cmu-sei/pharos) - FN2Yara 是一种用于生成 Yara 签名的工具，用于匹配可执行程序中的函数（代码）。 * [Generic File Parser](https://github.com/uppusaikiran/generic-parser) - 一个单一库解析器，用于提取元信息、静态分析以及检测文件中的宏。 * [hashdeep](https://github.com/jessek/hashdeep) - 使用多种算法计算摘要哈希。 * [HashCheck](https://github.com/gurnec/HashCheck) - Windows shell 扩展，可使用多种算法计算哈希。 * [Loki](https://github.com/Neo23x0/Loki) - 基于 IOC 的主机扫描器。 * [Malfunction](https://github.com/Dynetics/Malfunction) - 在函数级别编目和比较恶意软件。 * [Manalyze](https://github.com/JusticeRage/Manalyze) - PE 可执行文件的静态分析器。 * [MASTIFF](https://github.com/KoreLogicSecurity/mastiff) - 静态分析框架。 * [MultiScanner](https://github.com/mitre/multiscanner) - 模块化文件扫描/分析框架。 * [Nauz File Detector(NFD)](https://github.com/horsicq/Nauz-File-Detector) - 适用于 Windows、Linux 和 MacOS 的链接器/编译器/工具检测器。 * [nsrllookup](https://github.com/rjhansen/nsrllookup) - 用于在 NIST 国家软件参考库数据库中查找哈希的工具。 * [packerid](https://github.com/sooshie/packerid) - PEiD 的跨平台 Python 替代品。 * [PE-bear](https://hshrzd.wordpress.com/pe-bear/) - PE 文件的逆向工程工具。 * [PEframe](https://github.com/guelfoweb/peframe) - PEframe 是一款开源工具，用于对便携式可执行恶意软件和恶意 MS Office 文档执行静态分析。 * [PEV](http://pev.sourceforge.net/) - 用于处理 PE 文件的多平台工具包，提供功能丰富的工具以正确分析可疑二进制文件。 * [PortEx](https://github.com/katjahahn/PortEx) - 用于分析 PE 文件的 Java 库，特别关注恶意软件分析和 PE 畸形鲁棒性。 * [Quark-Engine](https://github.com/quark-engine/quark-engine) - 忽略混淆的 Android 恶意软件评分系统。 * [Rootkit Hunter](http://rkhunter.sourceforge.net/) - 检测 Linux rootkit。 * [ssdeep](https://ssdeep-project.github.io/ssdeep/) - 计算模糊哈希。 * [totalhash.py](https://gist.github.com/gleblanc1783/3c8e6b379fa9d646d401b96ab5c7877f) - 用于轻松搜索 [TotalHash.cymru.com](https://totalhash.cymru.com/) 数据库的 Python 脚本。 * [TrID](http://mark0.net/soft-trid-e.html) - 文件识别器。 * [YARA](https://plusvic.github.io/yara/) - 供分析师使用的模式匹配工具。 * [Yara rules generator](https://github.com/Neo23x0/yarGen) - 基于一组恶意软件样本生成 yara 规则。还包含一个良好的字符串数据库以避免误报。 * [Yara Finder](https://github.com/uppusaikiran/yara-finder) - 一个简单的工具，用于根据各种 yara 规则对文件进行 yara 匹配，以查找可疑指标。 ## 在线扫描器和沙箱 *基于 Web 的多引擎扫描器和用于自动化分析的恶意软件沙箱。* * [anlyz.io](https://sandbox.anlyz.io/) - 在线沙箱。 * [any.run](https://app.any.run/) - 在线交互式沙箱。 * [AndroTotal](https://andrototal.org/) - 针对多个移动杀毒应用进行 APK 免费在线分析。 * [BoomBox](https://github.com/nbeede/BoomBox) - 使用 Packer 和 Vagrant 自动部署 Cuckoo Sandbox 恶意软件实验室。 * [Cryptam](http://www.cryptam.com/) - 分析可疑的 Office 文档。 * [Cuckoo Sandbox](https://cuckoosandbox.org/) - 开源、自托管的沙箱和自动分析系统。 * [cuckoo-modified](https://github.com/brad-accuvant/cuckoo-modified) - 在 GPL 下发布的 Cuckoo Sandbox 修改版本。由于作者的法律顾虑，未向上游合并。 * [cuckoo-modified-api](https://github.com/keithjjones/cuckoo-modified-api) - 用于控制 cuckoo-modified 沙箱的 Python API。 * [DeepViz](https://www.deepviz.com/) - 带有机器学习分类的多格式文件分析器。 * [detux](https://github.com/detuxsandbox/detux/) - 为分析 Linux 恶意软件流量和捕获 IOC 而开发的沙箱。 * [DRAKVUF](https://github.com/tklengyel/drakvuf) - 动态恶意软件分析系统。 * [filescan.io](https://www.filescan.io/) - 静态恶意软件分析、VBA/Powershell/VBS/JS 仿真。 * [firmware.re](http://firmware.re/) - 解包、扫描和分析几乎所有的固件包。 * [HaboMalHunter](https://github.com/Tencent/HaboMalHunter) - 针对 Linux ELF 文件的自动化恶意软件分析工具。 * [Hybrid Analysis](https://www.hybrid-analysis.com/) - 在线恶意软件分析工具，由 VxSandbox 提供支持。 * [Intezer](https://analyze.intezer.com) - 通过识别代码重用和代码相似性来检测、分析和分类恶意软件。 * [IRMA](http://irma.quarkslab.com/) - 用于可疑文件的异步且可定制的分析平台。 * [Joe Sandbox](https://www.joesecurity.org) - 使用 Joe Sandbox 进行深度恶意软件分析。 * [Jotti](https://virusscan.jotti.org/en) - 免费的在线多引擎扫描器。 * [Limon](https://github.com/monnappa22/Limon) - 用于分析 Linux 恶意软件的沙箱。 * [Malheur](https://github.com/rieck/malheur) - 恶意软件行为的自动化沙箱分析。 * [malice.io](https://github.com/maliceio/malice) - 大规模可扩展的恶意软件分析框架。 * [malsub](https://github.com/diogo-fernan/malsub) - 用于在线恶意软件和 URL 分析服务的 Python RESTful API 框架。 * [Malware config](https://malwareconfig.com/) - 在线提取、解码和显示常见恶意软件的配置设置。 * [MalwareAnalyser.io](https://malwareanalyser.io/) - 在线恶意软件基于异常的静态分析器，带有由数据挖掘和机器学习驱动的启发式检测引擎。 * [Malwr](https://malwr.com/) - 使用在线 Cuckoo Sandbox 实例进行免费分析。 * [MetaDefender Cloud](https://metadefender.opswat.com/ ) - 免费扫描文件、哈希、IP、URL 或域名地址以查找恶意软件。 * [NetworkTotal](https://www.networktotal.com/index.html) - 分析 pcap 文件的服务，有助于使用配置了 EmergingThreats Pro 的 Suricata 快速检测病毒、蠕虫、木马和所有类型的恶意软件。 * [Noriben](https://github.com/Rurik/Noriben) - 使用 Sysinternals Procmon 在沙箱环境中收集有关恶意软件的信息。 * [PacketTotal](https://packettotal.com/) - PacketTotal 是一个用于分析 .pcap 文件并可视化其中网络流量的在线引擎。 * [PDF Examiner](http://www.pdfexaminer.com/) - 分析可疑的 PDF 文件。 * [ProcDot](http://www.procdot.com) - 图形化的恶意软件分析工具包。 * [Recomposer](https://github.com/secretsquirrel/recomposer) - 用于安全上传二进制文件到沙箱站点的辅助脚本。 * [sandboxapi](https://github.com/InQuest/python-sandboxapi) - 用于构建与多个开源和商业恶意软件沙箱集成的 Python 库。 * [SEE](https://github.com/F-Secure/see) - 沙箱执行环境 (SEE) 是一个用于在安全环境中构建测试自动化的框架。 * [SEKOIA Dropper Analysis](https://malware.sekoia.fr/) - 在线释放器分析。 * [VirusTotal](https://www.virustotal.com/) - 免费的恶意软件样本和 URL 在线分析。 * [Visualize_Logs](https://github.com/keithjjones/visualize_logs) - 用于日志的开源可视化库和命令行工具。（Cuckoo、Procmon，更多功能开发中...） * [Zeltser's List](https://zeltser.com/automated-malware-analysis/) - 由 Lenny Zeltser 整理的免费自动化沙箱和服务。 ## 域名分析 *检查域名和 IP 地址。* * [AbuseIPDB](https://www.abuseipdb.com/) - AbuseIPDB 是一个致力于帮助打击黑客、垃圾邮件发送者和互联网滥用行为扩散的项目。 * [badips.com](https://www.badips.com/) - 基于社区的 IP 黑名单服务。 * [boomerang](https://github.com/EmersonElectricCo/boomerang) - 一种专为一致且安全地捕获网络外 Web 资源而设计的工具。 * [Cymon](https://cymon.io/) - 威胁情报追踪器，支持 IP/域名/哈希搜索。 * [Desenmascara.me](http://desenmascara.me) - 一键工具，用于尽可能多地检索网站的元数据并评估其良好状态。 * [Dig](https://networking.ringofsaturn.com/) - 免费的在线 dig 和其他网络工具。 * [dnstwist](https://github.com/elceef/dnstwist) - 域名排列引擎，用于检测域名误拼抢注、网络钓鱼和企业间谍活动。 * [IPinfo](https://github.com/hiddenillusion/IPinfo) - 通过搜索在线资源来收集有关 IP 或域名的信息。 * [Machinae](https://github.com/hurricanelabs/machinae) - 用于收集有关 URL、IP 或哈希信息的 OSINT 工具。类似于 Automator。 * [mailchecker](https://github.com/FGRibreau/mailchecker) - 跨语言的临时电子邮件检测库。 * [MaltegoVT](https://github.com/michael-yip/MaltegoVT) - 针对 VirusTotal API 的 Maltego 转换。允许进行域名/IP 研究，并搜索文件哈希和扫描报告。 * [Multi rbl](http://multirbl.valli.org/) - 超过 300 个 RBL 的多个 DNS 黑名单和正向确认反向 DNS 查找。 * [NormShield Services](https://services.normshield.com/) - 免费的 API 服务，用于检测可能的网络钓鱼域名、被列入黑名单的 IP 地址和被泄露的账户。 * [PhishStats](https://phishstats.info/) - 网络钓鱼统计，支持 IP、域名和网站标题搜索。 * [Spyse](https://spyse.com/) - 子域名、whois、相关域名、DNS、主机 AS、SSL/TLS 信息， * [SecurityTrails](https://securitytrails.com/) - 历史和当前 WHOIS、历史和当前 DNS 记录、相似域名、证书信息以及其他域名和 IP 相关的 API 和工具。 * [SpamCop](https://www.spamcop.net/bl.shtml) - 基于 IP 的垃圾邮件阻止列表。 * [SpamHaus](https://www.spamhaus.org/lookup/) - 基于域名和 IP 的阻止列表。 * [Sucuri SiteCheck](https://sitecheck.sucuri.net/) - 免费的网站恶意软件和安全扫描器。 * [Talos Intelligence](https://talosintelligence.com/) - 搜索 IP、域名或网络所有者。（以前称为 SenderBase。） * [TekDefense Automater](http://www.tekdefense.com/automater/) - 用于收集有关 URL、IP 或哈希信息的 OSINT 工具。 * [URLhaus](https://urlhaus.abuse.ch/) - abuse.ch 的一个项目，旨在共享用于恶意软件分发的恶意 URL。 * [URLQuery](http://urlquery.net/) - 免费 URL 扫描器。 * [urlscan.io](https://urlscan.io/) - 免费 URL 扫描器和域名信息。 * [Whois](https://whois.domaintools.com/) - DomainTools 提供的免费在线 whois 搜索。 * [Zeltser's List](https://zeltser.com/lookup-malicious-websites/) - 由 Lenny Zeltser 整理的用于研究恶意网站的免费在线工具。 * [ZScalar Zulu](https://zulu.zscaler.com/#) - Zulu URL 风险分析器。 ## 浏览器恶意软件 *分析恶意 URL。另请参见[域名分析](#domain-analysis)和[文档和 Shellcode](#documents-and-shellcode) 部分。* * [Bytecode Viewer](https://github.com/Konloch/bytecode-viewer) - 将多个 Java 字节码查看器和反编译器组合到一个工具中，包括 APK/DEX 支持。 * [Firebug]() - 用于 Web 开发的 Firefox 扩展。 * [Java Decompiler](http://jd.benow.ca/) - 反编译和检查 Java 应用程序。 * [Java IDX Parser](https://github.com/Rurik/Java_IDX_Parser/) - 解析 Java IDX 缓存文件。 * [JSDetox](http://www.relentless-coding.com/projects/jsdetox/) - JavaScript 恶意软件分析工具。 * [jsunpack-n](https://github.com/urule99/jsunpack-n) - 模拟浏览器功能的 javascript 解包器。 * [Krakatau](https://github.com/Storyyeller/Krakatau) - Java 反编译器、汇编器和反汇编器。 * [Malzilla](http://malzilla.sourceforge.net/) - 分析恶意网页。 * [RABCDAsm](https://github.com/CyberShadow/RABCDAsm) - 一个“健壮的 ActionScript 字节码反汇编器”。 * [SWF Investigator](https://labs.adobe.com/technologies/swfinvestigator/) - SWF 应用程序的静态和动态分析。 * [swftools](http://www.swftools.org/) - 用于处理 Adobe Flash 文件的工具。 * [xxxswf](http://hooked-on-mnemonics.blogspot.com/2011/12/xxxswfpy.html) - 用于分析 Flash 文件的 Python 脚本。 ## 文档和 Shellcode *分析来自 PDF 和 Office 文档的恶意 JS 和 shellcode。另请参见[浏览器恶意软件](#browser-malware) 部分。* * [AnalyzePDF](https://github.com/hiddenillusion/AnalyzePDF) - 用于分析 PDF 并尝试确定它们是否为恶意的工具。 * [box-js](https://github.com/CapacitorSet/box-js) - 用于研究 JavaScript 恶意软件的工具，支持 JScript/WScript 和 ActiveX 仿真。 * [diStorm](http://www.ragestorm.net/distorm/) - 用于分析恶意 shellcode 的反汇编器。 * [InQuest Deep File Inspection](https://labs.inquest.net/dfi) - 上传常见的恶意软件诱饵以进行深度文件检查和启发式分析。 * [JS Beautifier](http://jsbeautifier.org/) - JavaScript 解包和去混淆。 * [libemu](http://libemu.carnivore.it/) - 用于 x86 shellcode 仿真的库和工具。 * [malpdfobj](https://github.com/9b/malpdfobj) - 将恶意 PDF 解构为 JSON 表示形式。 * [OfficeMalScanner](http://www.reconstructer.org/code.html) - 扫描 MS Office 文档中的恶意痕迹。 * [olevba](http://www.decalage.info/python/olevba) - 用于解析 OLE 和 OpenXML 文档并提取有用信息的脚本。 * [Origami PDF](https://code.google.com/archive/p/origami-pdf) - 用于分析恶意 PDF 等的工具。 * [PDF Tools](https://blog.didierstevens.com/programs/pdf-tools/) - 来自 Didier Stevens 的 pdfid、pdf-parser 等工具。 * [PDF X-Ray Lite](https://github.com/9b/pdfxray_lite) - PDF 分析工具，PDF X-RAY 的无后端版本。 * [peepdf](http://eternal-todo.com/tools/peepdf-pdf-analysis-tool) - 用于探索可能带有恶意的 PDF 的 Python 工具。 * [QuickSand](https://www.quicksand.io/) - QuickSand 是一个紧凑的 C 框架，用于分析可疑的恶意软件文档，以识别不同编码流中的漏洞利用，并定位和提取嵌入的可执行文件。 * [Spidermonkey](https://developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey) - Mozilla 的 JavaScript 引擎，用于调试恶意 JS。 ## 文件雕刻 *用于从磁盘和内存映像中提取文件。* * [bulk_extractor](https://github.com/simsong/bulk_extractor) - 快速文件雕刻工具。 * [EVTXtract](https://github.com/williballenthin/EVTXtract) - 从原始二进制数据中雕刻 Windows 事件日志文件。 * [Foremost](http://foremost.sourceforge.net/) - 由美国空军设计的文件雕刻工具。 * [hachoir3](https://github.com/vstinner/hachoir3) - Hachoir 是一个 Python 库，用于逐字段查看和编辑二进制流。 * [Scalpel](https://github.com/sleuthkit/scalpel) - 另一个数据雕刻工具。 * [SFlock](https://github.com/jbremer/sflock) - 嵌套存档提取/解包（在 Cuckoo Sandbox 中使用）。 ## 去混淆 *逆向 XOR 和其他代码混淆方法。* * [Balbuzard](https://bitbucket.org/decalage/balbuzard/wiki/Home) - 用于逆向混淆（XOR、ROL 等）等的恶意软件分析工具。 * [de4dot](https://github.com/0xd4d/de4dot) - .NET 去混淆器和解包器。 * [ex_pe_xor](http://hooked-on-mnemonics.blogspot.com/2014/04/expexorpy.html) 和 [iheartxor](http://hooked-on-mnemonics.blogspot.com/p/iheartxor.html) - Alexander Hanel 提供的两个用于处理单字节 XOR 编码文件的工具。 * [FLOSS](https://github.com/fireeye/flare-floss) - FireEye Labs 混淆字符串解析器使用高级静态分析技术自动去混淆恶意软件二进制文件中的字符串。 * [NoMoreXOR](https://github.com/hiddenillusion/NoMoreXOR) - 使用频率分析猜测 256 字节的 XOR 密钥。 * [PackerAttacker](https://github.com/BromiumLabs/PackerAttacker) - Windows 恶意软件的通用隐藏代码提取器。 * [PyInstaller Extractor](https://github.com/extremecoders-re/pyinstxtractor) - 用于提取 PyInstaller 生成的 Windows 可执行文件内容的 Python 脚本。可执行文件中存在的 pyz 文件（通常是 pyc 文件）的内容也会被提取并自动修复，以便 Python 字节码反编译器能够识别它。 * [uncompyle6](https://github.com/rocky/python-uncompyle6/) - 跨版本的 Python 字节码反编译器。将 Python 字节码转换回等效的 Python 源代码。 * [un{i}packer](https://github.com/unipacker/unipacker) - 基于仿真的 Windows 二进制文件自动且独立于平台的解包器。 * [unpacker](https://github.com/malwaremusings/unpacker/) - 基于 WinAppDbg 的 Windows 恶意软件自动解包器。 * [unxor](https://github.com/tomchop/unxor/) - 使用已知明文攻击猜测 XOR 密钥。 * [VirtualDeobfuscator](https://github.com/jnraber/VirtualDeobfuscator) - 用于虚拟化包装器的逆向工程工具。 * [XORBruteForcer](http://eternal-todo.com/var/scripts/xorbruteforcer) - 用于暴力破解单字节 XOR 密钥的 Python 脚本。 * [XORSearch & XORStrings](https://blog.didierstevens.com/programs/xorsearch/) - Didier Stevens 提供的用于查找 XOR 数据的几个程序。 * [xortool](https://github.com/hellman/xortool) - 猜测 XOR 密钥长度以及密钥本身。 ## 调试与逆向工程 *反汇编器、调试器和其他静态和动态分析工具。* * [angr](https://github.com/angr/angr) - 在 UCSB Seclab 开发的平台无关二进制分析框架。 * [bamfdetect](https://github.com/bwall/bamfdetect) - 识别并从僵尸程序和其他恶意软件中提取信息。 * [BAP](https://github.com/BinaryAnalysisPlatform/bap) - 在 CMU Cylab 开发的多平台开源 (MIT) 二进制分析框架。 * [BARF](https://github.com/programa-stic/barf-project) - 多平台、开源的二进制分析和逆向工程框架。 * [binnavi](https://github.com/google/binnavi) - 基于图形可视化的用于逆向工程的二进制分析 IDE。 * [Binary ninja](https://binary.ninja/) - IDA 的替代逆向工程平台。 * [Binwalk](https://github.com/devttys0/binwalk) - 固件分析工具。 * [BluePill](https://github.com/season-lab/bluepill) - 用于执行和调试规避型恶意软件和受保护可执行文件的框架。 * [Capstone](https://github.com/aquynh/capstone) - 用于二进制分析和逆向工程的反汇编框架，支持多种架构和多种语言的绑定。 * [codebro](https://github.com/hugsy/codebro) - 使用 clang 提供基本代码分析的基于 Web 的代码浏览器。 * [Cutter](https://github.com/radareorg/cutter) - Radare2 的 GUI。 * [DECAF (Dynamic Executable Code Analysis Framework)](https://github.com/sycurelab/DECAF) - 基于 QEMU 的二进制分析平台。DroidScope 现在是 DECAF 的扩展。 * [dnSpy](https://github.com/0xd4d/dnSpy) - .NET 程序集编辑器、反编译器和调试器。 * [dotPeek](https://www.jetbrains.com/decompiler/) - 免费的 .NET 反编译器和程序集浏览器。 * [Evan's Debugger (EDB)](http://codef00.com/projects#debugger) - 带有 Qt GUI 的模块化调试器。 * [Fibratus](https://github.com/rabbitstack/fibratus) - 用于探索和追踪 Windows 内核的工具。 * [FPort](https://www.mcafee.com/us/downloads/free-tools/fport.aspx) - 报告实时系统中打开的 TCP/IP 和 UDP 端口，并将它们映射到所属应用程序。 * [GDB](http://www.sourceware.org/gdb/) - GNU 调试器。 * [GEF](https://github.com/hugsy/gef) - GDB 增强功能，面向漏洞利用者和逆向工程师。 * [Ghidra](https://github.com/NationalSecurityAgency/ghidra) - 由美国国家安全局研究理事会创建和维护的软件逆向工程 (SRE) 框架。 * [hackers-grep](https://github.com/codypierce/hackers-grep) - 用于在 PE 可执行文件中搜索字符串（包括导入、导出和调试符号）的实用程序。 * [Hopper](https://www.hopperapp.com/) - macOS 和 Linux 反汇编器。 * [IDA Pro](https://www.hex-rays.com/products/ida/index.shtml) - Windows 反汇编器和调试器，提供免费评估版。 * [IDR](https://github.com/crypto2011/IDR) - Interactive Delphi Reconstructor 是 Delphi 可执行文件和动态链接库的反编译器。 * [Immunity Debugger](http://debugger.immunityinc.com/) - 用于恶意软件分析等的调试器，带有 Python API。 * [ILSpy](http://ilspy.net/) - ILSpy 是开源的 .NET 程序集浏览器和反编译器。 * [Kaitai Struct](http://kaitai.io/) - 用于文件格式/网络协议/数据结构逆向工程和剖析的 DSL，支持为 C++、C#、Java、JavaScript、Perl、PHP、Python、Ruby 生成代码。 * [LIEF](https://lief.quarkslab.com/) - LIEF 提供了一个跨平台的库，用于解析、修改和抽象 ELF、PE 和 MachO 格式。 * [ltrace](http://ltrace.org/) - Linux 可执行文件的动态分析。 * [mac-a-mal](https://github.com/phdphuc/mac-a-mal) - 用于 mac 恶意软件狩猎的自动化框架。 * [objdump](https://en.wikipedia.org/wiki/Objdump) - GNU binutils 的一部分，用于 Linux 二进制文件的静态分析。 * [OllyDbg](http://www.ollydbg.de/) - Windows 可执行文件的汇编级调试器。 * [OllyDumpEx](https://low-priority.appspot.com/ollydumpex/) - 从（已解包的）恶意软件 Windows 进程转储内存，并存储原始数据或重建 PE 文件。这是 OllyDbg、Immunity Debugger、IDA Pro、WinDbg 和 x64dbg 的插件。 * [PANDA](https://github.com/moyix/panda) - 架构中立的动态分析平台。 * [PEDA](https://github.com/longld/peda) - GDB 的 Python 漏洞利用开发辅助工具，具有增强的显示和添加的命令。 * [pestudio](https://winitor.com/) - 对 Windows 可执行文件执行静态分析。 * [Pharos](https://github.com/cmu-sei/pharos) - Pharos 二进制分析框架可用于对二进制文件执行自动静态分析。 * [plasma](https://github.com/plasma-disassembler/plasma) - 用于 x86/ARM/MIPS 的交互式反汇编器。 * [PPEE (puppy)](https://www.mzrst.com/) - 专为逆向工程师、恶意软件研究人员以及希望更详细地静态检查 PE 文件的人士设计的专业 PE 文件资源管理器。 * [Process Explorer](https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) - Windows 的高级任务管理器。 * [Process Hacker](http://processhacker.sourceforge.net/) - 监控系统资源的工具。 * [Process Monitor](https://docs.microsoft.com/en-us/sysinternals/downloads/procmon) - 用于 Windows 程序的高级监控工具。 * [PSTools](https://docs.microsoft.com/en-us/sysinternals/downloads/pstools) - 帮助管理和调查实时系统的 Windows 命令行工具。 * [Pyew](https://github.com/joxeankoret/pyew) - 用于恶意软件分析的 Python 工具。 * [PyREBox](https://github.com/Cisco-Talos/pyrebox) - 由 Cisco Talos 团队开发的 Python 可编写脚本的逆向工程沙箱。 * [Qiling Framework](https://www.qiling.io/) - 跨平台仿真和沙箱框架，附带二进制分析工具。 * [QKD](https://github.com/ispras/qemu/releases/) - 嵌入了 WinDbg 服务器以进行隐蔽调试的 QEMU。 * [Radare2](http://www.radare.org/r/) - 逆向工程框架，带有调试器支持。 * [RegShot](https://sourceforge.net/projects/regshot/) - 用于比较快照的注册表比较实用程序。 * [RetDec](https://retdec.com/) - 可重定目标的机器码反编译器，带有[在线反编译服务](https://retdec.com/decompilation/)和可在您的工具中使用的 [API](https://retdec.com/api/)。 * [ROPMEMU](https://github.com/Cisco-Talos/ROPMEMU) - 用于分析、剖析和反编译复杂代码重攻击的框架。 * [Scylla Imports Reconstructor](https://github.com/NtQuery/Scylla) - 查找并修复已解包/转储的 PE32 恶意软件的 IAT。 * [ScyllaHide](https://github.com/x64dbg/ScyllaHide) - OllyDbg、x64dbg、IDA Pro 和 TitanEngine 的反反调试库和插件。 * [SMRT](https://github.com/pidydx/SMRT) - Sublime 恶意软件研究工具，Sublime 3 的插件，可辅助恶意软件分析。 * [strace](https://sourceforge.net/projects/strace/) - Linux 可执行文件的动态分析。 * [StringSifter](https://github.com/fireeye/stringsifter) - 一种机器学习工具，可根据字符串与恶意软件分析的相关性自动对字符串进行排名。 * [Triton](https://triton.quarkslab.com/) - 动态二进制分析 (DBA) 框架。 * [Udis86](https://github.com/vmt/udis86) - 用于 x86 和 x86_64 的反汇编器库和工具。 * [Vivisect](https://github.com/vivisect/vivisect) - 用于恶意软件分析的 Python 工具。 * [WinDbg](https://developer.microsoft.com/en-us/windows/hardware/download-windbg) - Microsoft Windows 计算机操作系统的多用途调试器，用于调试用户模式应用程序、设备驱动程序和内核模式内存转储。 * [X64dbg](https://github.com/x64dbg/) - Windows 的开源 x64/x32 调试器。 ## 网络 *分析网络交互。* * [Bro](https://www.bro.org) - 以惊人规模运行的协议分析器；涵盖文件和网络协议。 * [BroYara](https://github.com/hempnall/broyara) - 从 Bro 中使用 Yara 规则。 * [CapTipper](https://github.com/omriher/CapTipper) - 恶意 HTTP 流量浏览器。 * [chopshop](https://github.com/MITRECND/chopshop) - 协议分析和解码框架。 * [CloudShark](https://www.cloudshark.org) - 用于数据包分析和恶意软件流量检测的基于 Web 的工具。 * [FakeNet-NG](https://github.com/fireeye/flare-fakenet-ng) - 下一代动态网络分析工具。 * [Fiddler](https://www.telerik.com/fiddler) - 为“Web 调试”设计的拦截式 Web 代理。 * [Hale](https://github.com/pjlantz/Hale) - 僵尸网络 C&C 监控器。 * [Haka](http://www.haka-security.org/) - 一种面向安全的开源语言，用于描述协议并将安全策略应用于（实时）捕获的流量。 * [HTTPReplay](https://github.com/jbremer/httpreplay) - 用于解析和读出 PCAP 文件的库，包括使用 TLS Master Secrets 的 TLS 流（在 Cuckoo Sandbox 中使用）。 * [INetSim](http://www.inetsim.org/) - 网络服务仿真，在构建恶意软件实验室时非常有用。 * [Laika BOSS](https://github.com/lmco/laikaboss) - Laika BOSS 是一个以文件为中心的恶意软件分析和入侵检测系统。 * [Malcolm](https://github.com/idaholab/Malcolm) - Malcolm 是一个功能强大、易于部署的网络流量分析工具套件，用于全数据包捕获工件（PCAP 文件）和 Zeek 日志。 * [Malcom](https://github.com/tomchop/malcom) - 恶意软件通信分析器。 * [Maltrail](https://github.com/stamparm/maltrail) - 恶意流量检测系统，利用包含恶意和/或一般可疑轨迹的公开可用（黑）名单，并具有报告和分析界面。 * [mitmproxy](https://mitmproxy.org/) - 动态拦截网络流量。 * [Moloch](https://github.com/aol/moloch) - IPv4 流量捕获、索引和数据库系统。 * [NetworkMiner](http://www.netresec.com/?page=NetworkMiner) - 网络取证分析工具，提供免费版本。 * [ngrep](https://github.com/jpr5/ngrep) - 像 grep 一样搜索网络流量。 * [PcapViz](https://github.com/mateuszk87/PcapViz) - 网络拓扑和流量可视化工具。 * [Python ICAP Yara](https://github.com/RamadhanAmizudin/python-icap-yara) - 带有 yara 扫描器的 ICAP 服务器，用于 URL 或内容。 * [Squidmagic](https://github.com/ch3k1/squidmagic) - squidmagic 是一种旨在分析基于 Web 的网络流量以检测中央命令和控制 (C&C) 服务器和恶意站点的工具，使用 Squid 代理服务器和 Spamhaus。 * [Tcpdump](http://www.tcpdump.org/) - 收集网络流量。 * [tcpick](http://tcpick.sourceforge.net/) - 从网络流量中跟踪和重组 TCP 流。 * [tcpxtract](http://tcpxtract.sourceforge.net/) - 从网络流量中提取文件。 * [Wireshark](https://www.wireshark.org/) - 网络流量分析工具。 ## 内存取证 *用于剖析内存映像或运行系统中的恶意软件的工具。* * [BlackLight](https://www.blackbagtech.com/blacklight.html) - 支持休眠文件、页面文件、原始内存分析的 Windows/MacOS 取证客户端。 * [DAMM](https://github.com/504ensicsLabs/DAMM) - 基于内存的恶意软件差异分析，构建于 Volatility 之上。 * [evolve](https://github.com/JamesHabben/evolve) - Volatility 内存取证框架的 Web 界面。 * [FindAES](https://sourceforge.net/projects/findaes/) - 在内存中查找 AES 加密密钥。 * [inVtero.net](https://github.com/ShaneK2/inVtero.net) - 在 .NET 中开发的高速内存分析框架，支持所有 Windows x64，包括代码完整性和写入支持。 * [Muninn](https://github.com/ytisf/muninn) - 使用 Volatility 自动执行部分分析并创建可读报告的脚本。 * [Orochi](https://github.com/LDO-CERT/orochi) - Orochi 是一个用于协作式取证内存转储分析的开源框架。 * [Rekall](http://www.rekall-forensic.com/) - 内存分析框架，于 2013 年从 Volatility 分叉而来。 * [TotalRecall](https://github.com/sketchymoose/TotalRecall) - 基于 Volatility 的脚本，用于自动化各种恶意软件分析任务。 * [VolDiff](https://github.com/aim4r/VolDiff) - 在恶意软件执行之前和之后对内存映像运行 Volatility，并报告更改。 * [Volatility](https://github.com/volatilityfoundation/volatility) - 高级内存取证框架。 * [VolUtility](https://github.com/kevthehermit/VolUtility) - Volatility 内存分析框架的 Web 界面。 * [WDBGARK](https://github.com/swwwolf/wdbgark) - WinDBG Anti-RootKit 扩展。 * [WinDbg](https://developer.microsoft.com/en-us/windows/hardware/windows-driver-kit) - Windows 系统的实时内存检查和内核调试。 ## Windows 痕迹 * [AChoir](https://github.com/OMENScan/AChoir) - 用于收集 Windows 痕迹的实时事件响应脚本。 * [python-evt](https://github.com/williballenthin/python-evt) - 用于解析 Windows 事件日志的 Python 库。 * [python-registry](http://www.williballenthin.com/registry/) - 用于解析注册表文件的 Python 库。 * [RegRipper](http://brettshavers.cc/index.php/brettsblog/tags/tag/regripper/) ([GitHub](https://github.com/keydet89/RegRipper2.8)) - 基于插件的注册表分析工具。 ## 存储与工作流 * [Aleph](https://github.com/merces/aleph) - 开源恶意软件分析流水线系统。 * [CRITs](https://crits.github.io/) - Collaborative Research Into Threats，一个恶意软件和威胁存储库。 * [FAME](https://certsocietegenerale.github.io/fame/) - 一个恶意软件分析框架，具有可通过自定义模块扩展的流水线，这些模块可以链接并相互交互以执行端到端分析。 * [Malwarehouse](https://github.com/sroberts/malwarehouse) - 存储、标记和搜索恶意软件。 * [Polichombr](https://github.com/ANSSI-FR/polichombr) - 一个旨在帮助分析师协作逆向恶意软件的恶意软件分析平台。 * [stoQ](http://stoq.punchcyber.com) - 具有广泛插件支持的分布式内容分析框架，从输入到输出以及介于两者之间的所有环节。 * [Viper](http://viper.li/) - 供分析师和研究人员使用的二进制文件管理和分析框架。 ## 杂项 * [al-khaser](https://github.com/LordNoteworthy/al-khaser) - 一种旨在给反恶意软件系统带来压力的善意 PoC 恶意软件。 * [CryptoKnight](https://github.com/AbertayMachineLearningGroup/CryptoKnight) - 自动化加密算法逆向工程和分类框架。 * [DC3-MWCP](https://github.com/Defense-Cyber-Crime-Center/DC3-MWCP) - 国防网络犯罪中心 的恶意软件配置解析器框架。 * [FLARE VM](https://github.com/fireeye/flare-vm) - 一个完全可定制的、基于 Windows 的、用于恶意软件分析的安全发行版。 * [MalSploitBase](https://github.com/misterch0c/malSploitBase) - 包含恶意软件所用漏洞的数据库。 * [Malware Museum](https://archive.org/details/malwaremuseum) - 在 1980 年代和 1990 年代分发的恶意软件程序集合。 * [Malware Organiser](https://github.com/uppusaikiran/malware-organiser) - 一个简单的工具，用于将大量恶意/良性文件组织成有序的结构。 * [Pafish](https://github.com/a0rtega/pafish) - Paranoid Fish，一种演示工具，采用多种技术来检测沙箱和分析环境，其方式与恶意软件家族相同。 * [REMnux](https://remnux.org/) - 用于恶意软件逆向工程和分析的 Linux 发行版和 docker 映像。 * [Tsurugi Linux](https://tsurugi-linux.org/) - 旨在支持您的 DFIR 调查、恶意软件分析和 OSINT（开源情报）活动的 Linux 发行版。 * [Santoku Linux](https://santoku-linux.com/) - 用于移动取证、恶意软件分析和安全的 Linux 发行版。 # 资源 ## 书籍 *必读的恶意软件分析材料。* * [Learning Malware Analysis](https://www.packtpub.com/networking-and-servers/learning-malware-analysis) - 学习恶意软件分析：探索分析并调查 Windows 恶意软件的概念、工具和技术。 * [Malware Analyst's Cookbook and DVD](https://amzn.com/dp/0470613033) - 对抗恶意代码的工具和技术。 * [Mastering Malware Analysis](https://www.packtpub.com/networking-and-servers/mastering-malware-analysis) - 精通恶意软件分析：恶意软件分析师对抗恶意软件、APT、网络犯罪和 IoT 攻击的完整指南。 * [Mastering Reverse Engineering](https://www.packtpub.com/networking-and-servers/mastering-reverse-engineering) - 精通逆向工程：重塑您的道德黑客技能。 * [Practical Malware Analysis](https://amzn.com/dp/1593272901) - 剖析恶意软件的实践指南。 * [Practical Reverse Engineering](https://www.amzn.com/dp/1118787315/) - 中级逆向工程。 * [Real Digital Forensics](https://www.amzn.com/dp/0321240693) - 计算机安全和事件响应。 * [Rootkits and Bootkits](https://www.amazon.com/dp/1593277164) - Rootkits 和 Bootkits：逆向现代恶意软件和下一代威胁。 * [The Art of Memory Forensics](https://amzn.com/dp/1118825098) - 在 Windows、Linux 和 Mac 内存中检测恶意软件和威胁。 * [The IDA Pro Book](https://amzn.com/dp/1593272898) - 世界上最受欢迎的反汇编器的非官方指南。 * [The Rootkit Arsenal](https://amzn.com/dp/144962636X) - Rootkit 武器库：系统暗角中的逃逸和规避。 ## 其他 * [APT Notes](https://github.com/aptnotes/data) - 与高级持续性威胁相关的论文和笔记集合。 * [Ember](https://github.com/endgameinc/ember) - Endgame 恶意软件基准测试研究，一个使（重新）创建机器学习模型变得容易的存储库，该模型可用于基于静态分析预测 PE 文件的分数。 * [File Formats posters](https://github.com/corkami/pics) - 常用文件格式（包括 PE 和 ELF）的精美可视化。 * [Honeynet Project](http://honeynet.org/) - 蜜罐工具、论文和其他资源。 * [Kernel Mode](http://www.kernelmode.info/forum/) - 致力于恶意软件分析和内核开发的活跃社区。 * [Malicious Software](https://zeltser.com/malicious-software/) - Lenny Zeltser 的恶意软件博客和资源。 * [Malware Analysis Search](https://cse.google.com/cse/home?cx=011750002002865445766%3Apc60zx1rliu) - 来自 [Corey Harrell](journeyintoir.blogspot.com/) 的自定义 Google 搜索引擎。 * [Malware Analysis Tutorials](http://fumalwareanalysis.blogspot.nl/p/malware-analysis-tutorials-reverse.html) - Dr. Xiang Fu 的恶意软件分析教程，是学习实用恶意软件分析的极佳资源。 * [Malware Analysis, Threat Intelligence and Reverse Engineering](https://www.slideshare.net/bartblaze/malware-analysis-threat-intelligence-and-reverse-engineering) - 介绍恶意软件分析、威胁情报和逆向工程概念的演示文稿。无需经验或先备知识。描述中有实验室链接。 * [Malware Persistence](https://github.com/Karneades/malware-persistence) - 集合了各种专注于恶意软件持久化的信息：检测（技术）、响应、陷阱和日志收集（工具）。 * [Malware Samples and Traffic](http://malware-traffic-analysis.net/) - 此博客重点关注与恶意软件感染相关的网络流量。 * [Malware Search+++](https://addons.mozilla.org/fr/firefox/addon/malware-search-plusplusplus/) Firefox 扩展，允许您轻松搜索一些最受欢迎的恶意软件数据库。 * [Practical Malware Analysis Starter Kit](https://bluesoul.me/practical-malware-analysis-starter-kit/) - 此包包含《实用恶意软件分析》书中引用的大部分软件。 * [RPISEC Malware Analysis](https://github.com/RPISEC/Malware) - 这些是伦斯勒理工学院 在 2015 年秋季恶意软件分析课程中使用的课程材料。 * [WindowsIR: Malware](http://windowsir.blogspot.com/p/malware.html) - Harlan Carvey 的恶意软件页面。 * [Windows Registry specification](https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md) - Windows 注册表文件格式规范。 * [/r/csirt_tools](https://www.reddit.com/r/csirt_tools/) - CSIRT 工具和资源的 Subreddit，带有 [malware analysis](https://www.reddit.com/r/csirt_tools/search?q=flair%3A%22Malware%20analysis%22&sort=new&restrict_sr=on) 标签。 * [/r/Malware](https://www.reddit.com/r/Malware) - 恶意软件 Subreddit。 * [/r/ReverseEngineering](https://www.reddit.com/r/ReverseEngineering) - 逆向工程 Subreddit，不仅限于恶意软件。 # 相关的 Awesome 列表 * [Android Security](https://github.com/ashishb/android-security-awesome) * [AppSec](https://github.com/paragonie/awesome-appsec) * [CTFs](https://github.com/apsdehal/awesome-ctf) * [Executable Packing](https://github.com/dhondta/awesome-executable-packing) * [Forensics](https://github.com/Cugu/awesome-forensics) * ["Hacking"](https://github.com/carpedm20/awesome-hacking) * [Honeypots](https://github.com/paralax/awesome-honeypots) * [Industrial Control System Security](https://github.com/hslatman/awesome-industrial-control-system-security) * [Incident-Response](https://github.com/meirwah/awesome-incident-response) * [Infosec](https://github.com/onlurking/awesome-infosec) * [PCAP Tools](https://github.com/caesar0301/awesome-pcaptools) * [Pentesting](https://github.com/enaqx/awesome-pentest) * [Security](https://github.com/sbilly/awesome-security) * [Threat Intelligence](https://github.com/hslatman/awesome-threat-intelligence) * [YARA](https://github.com/InQuest/awesome-yara) # 致谢 本列表的诞生离不开： * Lenny Zeltser 和其他贡献者开发了 REMnux，我在其中发现了本列表中的许多工具； * Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 编写了《*Malware Analyst's Cookbook*》，这也是创建此列表的一大灵感来源； * 以及其他所有发送 Pull Request 或建议在此添加链接的人！ 谢谢！

标签：AD攻击面, DAST, DNS通配符暴力破解, HTTPS请求, SecList, Sigma 规则, Windows取证, 云资产清单, 内存取证, 匿名网络, 域名分析, 威胁情报, 安全工具集, 安全资源导航, 安全运营, 开发者工具, 开源安全集合, 恶意软件分析, 扫描框架, 文件分析, 沙箱检测, 沙箱逃逸, 系统分析, 网络分析, 脱壳解密, 蜜罐技术, 逆向工具, 逆向工程, 防御加固, 黑产研究