packing-box/awesome-executable-packing

GitHub: packing-box/awesome-executable-packing

一个精心整理的可执行文件加壳相关资源合集，涵盖文献、数据集、壳程序工具和科学研究论文，服务于恶意软件分析与检测研究。

Stars: 1570 | Forks: 136

# Awesome Executable Packing [![Awesome](https://awesome.re/badge.svg)](https://awesome.re)

*加壳* 是指在不改变可执行文件原有目的的前提下对其进行修改的操作。它通常包含以下一种或多种操作组合： - 打包：将多个文件捆绑成一个单独的可执行文件 - 压缩：压缩可执行文件以减小其原始体积 - 编码：通过编码对可执行文件进行混淆 - 加密：通过加密对可执行文件进行混淆 - 变异：改变可执行文件的代码，使其使用经过修改的指令集和架构（例如使用多态性） - 保护：增加逆向工程可执行文件的难度（例如使用反调试、防篡改或其他技巧） - 虚拟化：嵌入虚拟机以虚拟化可执行文件的指令 ## 目录 - [:books: 文献](#books-literature) - [文档](#documentation) - [科学研究](#scientific-research) - [:bookmark_tabs: 数据集](#bookmark_tabs-datasets) - [:package: 壳程序](#package-packers) - [2010 年之后](#after-2010) - [2000 年至 2010 年之间](#between-2000-and-2010) - [2000 年之前](#before-2000) - [:wrench: 工具](#wrench-tools) ## :books: 文献 ### 文档 - :earth_americas: [a.out (FreeBSD 手册页)](https://www.freebsd.org/cgi/man.cgi?a.out(5)) - :earth_americas: [A.out 二进制格式](https://wiki.osdev.org/A.out) - :earth_americas: [关于反调试技巧](https://anti-debug.checkpoint.com) - :bar_chart: [Android 壳程序：脱颖而出](https://www.fortiguard.com/events/759/2014-06-12-android-packers-separating-from-the-pack) - :pushpin: [带有示例的反调试保护技术](https://www.apriorit.com/dev-blog/367-anti-reverse-engineering-protection-techniques-to-use-before-releasing-software) - :notebook: [反脱壳技巧](https://pferrie.tripod.com/papers/unpackers.pdf) - :page_facing_up: [反脱壳技巧 - 第 14 部分（及之前的部分）](https://www.virusbulletin.com/virusbulletin/2010/11/anti-unpacker-tricks-part-fourteen/) - :bar_chart: [API 反混淆器：解析现代壳程序中混淆的 API 函数](https://www.blackhat.com/docs/us-15/materials/us-15-Choi-API-Deobfuscator-Resolving-Obfuscated-API-Functions-In-Modern-Packers.pdf) - :earth_americas: [武装 ELF：UNIX 平台上的二进制加密](https://phrack.org/issues/58/5) - :green_book: [内存取证艺术：在 Windows、Linux 和 Mac 内存中检测恶意软件与威胁](https://www.oreilly.com/library/view/the-art-of/9781118824993) - :bar_chart: [脱壳的艺术](https://www.blackhat.com/presentations/bh-usa-07/Yason/Whitepaper/bh-usa-07-yason-WP.pdf) - :earth_americas: [Awesome 可执行文件加壳](https://github.com/packing-box/awesome-executable-packing) - :earth_americas: [Awesome LLVM 安全](https://github.com/gmh5225/awesome-llvm-security) - :pushpin: [暗中攻击：揭秘隐藏的恶意软件攻击](https://symantec-enterprise-blogs.security.com/blogs/expert-perspectives/unpacking-hidden-malware-attacks) - :book: [聚类分析](https://en.wikipedia.org/w/index.php?title=Cluster_analysis&oldid=1148034400) - :earth_americas: [聚类算法](https://developers.google.com/machine-learning/clustering/clustering-algorithms) - :earth_americas: [COM 二进制格式](https://wiki.osdev.org/COM) - :earth_americas: [通用对象文件格式 (COFF)](https://wiki.osdev.org/COFF) - :earth_americas: [可执行文件格式对比](https://en.wikipedia.org/wiki/Comparison_of_executable_file_formats) - :newspaper: [一种复杂度度量](https://ieeexplore.ieee.org/document/1702388/) - :newspaper: [圈复杂度密度与软件维护生产力](https://ieeexplore.ieee.org/document/106988) - :bar_chart: [应对虚拟化壳程序](https://2008.caro.org/program/dealing-with-virtualization-packers) - :earth_americas: [Defacto2](https://defacto2.net/g/defacto2net) - :newspaper: [我们需要数百个分类器来解决现实世界中的分类问题吗？](https://jmlr.org/papers/v15/delgado14a.html) - :bar_chart: [动态二进制分析与混淆代码](https://triton.quarkslab.com/files/sthack2016-rthomas-jsalwan.pdf) - :earth_americas: [elf (FreeBSD 手册页)](https://www.freebsd.org/cgi/man.cgi?elf(5)) - :pushpin: [熵与加壳 PE 文件的独特特征](https://n10info.blogspot.com/2014/06/entropy-and-distinctive-signs-of-packed.html) - :notebook: [逃避机器学习恶意软件检测](https://www.blackhat.com/us-17/briefings.html#bot-vs.-bot-for-evading-machine-learning-malware-detection) - :earth_americas: [可执行与可链接格式 (ELF)](https://wiki.osdev.org/ELF) - :clipboard: [可执行与可链接格式 (ELF) 规范](https://refspecs.linuxfoundation.org/elf/elf.pdf) - :earth_americas: [可执行文件格式](https://docs.fileformat.com/executable) - :pushpin: [详解：加壳、加密与保护](https://www.threatdown.com/blog/explained-packer-crypter-and-protector/) - :earth_americas: [FatELF：Linux 的通用二进制文件（已停止）](https://icculus.org/fatelf) - :newspaper: [特征选择：数据视角](https://dl.acm.org/doi/10.1145/3136625) - :notebook: [Gunpack：一个通用的恶意软件脱壳工具](https://www.sstic.org/2016/presentation/gunpack/) - :newspaper: [如何有效使用 t-SNE](https://distill.pub/2016/misread-tsne) - :clipboard: [Hyperion：PE 加密器的实现](https://www.exploit-db.com/docs/english/18849-hyperion-implementation-of-a-pe-crypter.pdf) - :scroll: [实现你自己的通用脱壳器](https://gsec.hitb.org/sg2015/sessions/session-001) - :earth_americas: [学习符号执行与 angr](https://tyeyeah.github.io/2020/03/05/2020-03-05-Learn-Symbolic-Execution-and-angr/) - :bar_chart: [LIEF：用于检测可执行文件格式的库](https://www.romainthomas.fr/publication/lief/17-04-cybersecurity-frjp-LIEF.pdf) - :pushpin: [Mach-O - 探究苹果可执行文件](https://redmaple.tech/blogs/macho-files) - :earth_americas: [Mach-O 文件格式参考](https://github.com/aidansteele/osx-abi-macho-file-format-reference) - :bar_chart: [Mach-O 内部原理](https://yossarian.net/res/pub/macho-internals/macho-internals.pdf) - :book: [机器学习](https://en.wikipedia.org/w/index.php?title=Machine_learning&oldid=1148293340) - :pushpin: [制作我们自己的可执行文件加壳器](https://fasterthanli.me/series/making-our-own-executable-packer) - :earth_americas: [恶意软件分析师的 aPLib 解压指南](https://infocon.org/mirrors/vx%20underground%20-%202025%20June/Papers/Malware%20Defense/Malware%20Analysis/2021/2021-01-08%20-%20The%20malware%20analyst%E2%80%99s%20guide%20to%20aPLib%20decompression.pdf) - :newspaper: [马修斯相关系数 (MCC) 应取代 ROC AUC 成为评估二分类的标准指标](https://doi.org/10.1186/s13040-023-00322-4) - :clipboard: [微软可移植可执行文件与通用对象文件格式规范](https://www.skyfree.org/linux/references/coff.pdf) - :earth_americas: [MITRE ATT&CK | T1027.002 | 混淆文件或信息：软件加壳 - 企业版](https://attack.mitre.org/techniques/T1027/002) - :earth_americas: [MITRE ATT&CK | T1406.002 | 混淆文件或信息：软件加壳 - 移动版](https://attack.mitre.org/techniques/T1406/002) - :earth_americas: [MZ 磁盘操作系统 (DOS)](https://wiki.osdev.org/MZ) - :bar_chart: [NotPacked++：规避静态加壳检测](https://www.blackhat.com/eu-24/arsenal/schedule/index.html?1#notpacked-evading-static-packing-detection-42187) - :earth_americas: [OllyDbg OEP 查找脚本](https://github.com/dubuqingfeng/ollydbg-script) - :bookmark: [关于 Timsort 最坏情况复杂度的研究](https://arxiv.org/abs/1805.08612) - :bar_chart: [一个壳程序统治一切：当前杀毒检测技术的实证识别、比较与规避](https://www.blackhat.com/docs/us-14/materials/us-14-Mesbahi-One-Packer-To-Rule-Them-All-WP.pdf) - :scroll: [一个壳程序统治一切：当前杀毒检测技术的实证识别、比较与规避](https://www.blackhat.com/docs/us-14/materials/us-14-Mesbahi-One-Packer-To-Rule-Them-All.pdf) - :newspaper: [壳程序分析报告：调试并脱壳 NsPack 3.4 和 3.7 壳程序](https://www.sans.org/reading-room/whitepapers/malicious/packer-analysis-report-debugging-unpacking-nspack-34-37-packer-33428) - :pushpin: [壳程序检测工具评估](https://github.com/FFRI/PackerDetectionToolEvaluation) - :page_facing_up: [壳程序](https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/corkami/packers.pdf) - :pushpin: [Linux 下的壳程序/保护器](https://reverseengineering.stackexchange.com/questions/3184/packers-protectors-for-linux) - :bar_chart: [Packing-box：突破检测器并可视化加壳过程](https://www.blackhat.com/eu-23/arsenal/schedule/index.html#packing-box-breaking-detectors--visualizing-packing-35678) - :bar_chart: [Packing-box：改进可执行文件加壳检测](https://www.blackhat.com/eu-24/arsenal/schedule/index.html?2#packing-box-improving-detection-of-executable-packing-41931) - :bar_chart: [Packing-box：探索可执行文件加壳](https://blackhat.com/eu-22/arsenal/schedule/index.html#packing-box-playing-with-executable-packing-29054) - :pushpin: [解析 Mach-O 文件](https://lowlevelbits.org/parsing-mach-o-files) - :green_book: [模式识别与机器学习（信息科学与统计学）](https://dl.acm.org/doi/10.5555/1162264) - :earth_americas: [PE 格式 - Win32 应用](https://learn.microsoft.com/en-us/windows/win32/debug/pe-format) - :scroll: [PinDemonium：基于 DBI 的 Windows 可执行文件通用脱壳器](https://www.blackhat.com/docs/us-16/materials/us-16-Mariani-Pindemonium-A-Dbi-Based-Generic-Unpacker-For-Windows-Executables-wp.pdf) - :earth_americas: [可移植可执行文件 (PE)](https://wiki.osdev.org/PE) - :green_book: [恶意软件分析实战：剖析恶意软件的实践指南](https://www.oreilly.com/library/view/practical-malware-analysis/9781593272906) - :pushpin: [ProtectMyTooling - 不要检测工具，要检测技术](https://mgeeky.tech/protectmytooling) - :bar_chart: [软件壳程序的定性与定量评估](http://webdiis.unizar.es/~ricardo/files/slides/industrial/slides_NcN-15.pdf) - :bar_chart: [逆向工程恶意软件：二进制混淆与保护](https://www.cse.tkk.fi/fi/opinnot/T-110.6220/2014_Reverse_Engineering_Malware_AND_Mobile_Platform_Security_AND_Software_Security/luennot-files/Binary%20Obfuscation%20and%20Protection.pdf) - :bar_chart: [运行时壳程序测试经验](https://www.av-test.org/fileadmin/pdf/publications/caro_2008_avtest_presentation_runtime_packer_testing_experiences.pdf) - :bar_chart: [运行时壳程序：隐藏的问题？](https://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Morgenstern.pdf) - :newspaper: [关于壳程序使用的标准与策略](http://pferrie.epizy.com/papers/con2010.htm) - :green_book: 隐秘软件：用于软件保护的混淆、水印与防篡改技术 - :bookmark: [降维技术综述](https://arxiv.org/abs/1403.2877) - :bar_chart: [TitanMist：迈向逆向极乐世界的第一步](https://media.blackhat.com/bh-us-10/whitepapers/Vuksan_Pericin/BlackHat-USA-2010-Vuksan-Pericin-TitanMist-wp.pdf) - :pushpin: [Tuts 4 you - UnPackMe (.NET)](https://forum.tuts4you.com/forum/155-unpackme-net) - :pushpin: [Tuts 4 you | unpackme](https://forum.tuts4you.com/forum/147-unpackme) - :green_book: ["终极"反调试参考](https://pferrie.epizy.com/papers/antidebug.pdf) - :page_facing_up: [二进制脱壳 101](https://sam0x90.blog/2020/06/06/unpacking-binary-101/) - :pushpin: [释放 "Packing box" 的潜力](https://medium.com/@elniak/unpacking-the-potential-of-packing-box-dfd765609233) - :pushpin: [脱壳、逆向与补丁](https://www.infosecinstitute.com/resources/reverse-engineering/unpacking-reversing-patching) - :bar_chart: [虚拟机混淆](https://compil2019.minesparis.psl.eu/wp-content/uploads/2019/02/BeatriceCreusillet-Obfuscation-quarkslab.pdf) - :bar_chart: [WaveAtlas：在当前恶意软件壳程序的领域中冲浪](https://www.virusbulletin.com/virusbulletin/2016/12/vb2015-paper-waveatlas-surfing-through-landscape-current-malware-packers/) - :bar_chart: [我们依然能破解你！Android 壳程序的通用无 Root 脱壳方法](https://www.blackhat.com/asia-15/briefings.html#we-can-still-crack-you-general-unpacking-method-for-android-packer-no-root) - :bar_chart: [当恶意软件火力全开（加壳）时](https://www.eurecom.fr/publication/5372) - :clipboard: [Win32 可移植可执行文件加壳揭秘](https://securitylabs.websense.com/content/Assets/HistoryofPackingTechnology.pdf) - :pushpin: [编写壳程序](https://dr4k0nia.github.io/posts/Writing-a-Packer) - :pushpin: [编写 PE 壳程序](https://wirediver.com/tutorial-writing-a-pe-packer-part-1/) - :pushpin: [详述编写一个简单的 PE 壳程序](https://github.com/levanvn/Packer_Simple-1) - :earth_americas: [x86 反汇编/Windows 可执行文件](https://en.wikibooks.org/wiki/X86_Disassembly/Windows_Executable_Files) - :earth_americas: [YARA - 恶意软件研究人员瑞士军刀般的模式匹配工具。](https://virustotal.github.io/yara)

### 科学研究 - :newspaper: [2-SPIFF：一种基于函数调用图和文件属性的 2 阶段壳程序识别方法](https://link.springer.com/article/10.1007/s10489-021-02347-w) (2021 年 12 月) :star: - :newspaper: [缺席极端学习机算法在加壳可执行文件识别中的应用](https://link.springer.com/article/10.1007%2Fs00521-014-1558-4) (2016 年 1 月) - :newspaper: [一种使用支持向量机的精确壳程序识别方法](https://www.jstage.jst.go.jp/article/transfun/E97.A/1/E97.A_253/_article) (2014 年 1 月) - :notebook: [Android 应用的自适应脱壳](https://ieeexplore.ieee.org/document/7985676) (2017 年 5 月) - :mortar_board: [针对可执行文件加壳静态检测的高级特征工程](https://researchportal.rma.ac.be/en/publications?1) (2024 年 6 月) :star: - :newspaper: [二进制可执行文件的高级预处理及其在可重定向反编译中的应用](https://www.fit.vut.cz/research/publication/10531) (2014 年 12 月) - :newspaper: [针对 Windows PE 恶意软件检测的对抗攻击：前沿技术综述](https://linkinghub.elsevier.com/retrieve/pii/S0167404823000445) (2023 年 5 月) :star: - :newspaper: [对抗性 EXEmples：针对 Windows 恶意检测中机器学习的实用攻击调研与实验评估](https://dl.acm.org/doi/10.1145/3473039) (2021 年 9 月) :star: - :mortar_board: [针对可执行文件加壳静态检测技术的对抗性学习](https://dial.uclouvain.be/memoire/ucl/object/thesis:40178) (2023 年 6 月) :star: - :notebook: [对抗性恶意二进制文件：规避用于可执行文件中恶意软件检测的深度学习](https://ieeexplore.ieee.org/document/8553214) (2018 年 9 月) :star: - :mortar_board: [用于突破可执行文件加壳静态检测的对抗工具](https://dial.uclouvain.be/memoire/ucl/en/object/thesis%3A48691) (2024 年 8 月) :star: - :notebook: [用于检测加壳可执行文件的对抗鲁棒汇编语言模型](https://dl.acm.org/doi/10.1145/3719027.3765157) (2025 年 11 月) :star: - :newspaper: [用于恶意软件分析的检测、脱壳与验证一体化框架](https://onlinelibrary.wiley.com/doi/10.1155/2019/5278137) (2019 年 1 月) :star: - :newspaper: [机器学习方法在加壳检测中的分析](https://www.sciencedirect.com/science/article/pii/S0167404823004467) (2023 年 10 月) :star: :star: - :newspaper: [现代壳程序中的反模拟趋势：关于 UPA 壳程序中反模拟技术演变的调查](https://link.springer.com/article/10.1007/s11416-017-0291-9) (2018 年 5 月) - :newspaper: [API-MalDetect：基于 API 调用和深度学习技术的 Windows 自动恶意软件检测框架](https://linkinghub.elsevier.com/retrieve/pii/S1084804523001236) (2023 年 9 月) :star: - :mortar_board: [机器学习在加壳 Mac 恶意软件分析中的应用](https://scholar.dsu.edu/theses/381) (2022 年 5 月) :star: - :notebook: [基于字符串核支持向量机的恶意软件壳程序识别应用](https://ieeexplore.ieee.org/document/6707043) (2013 年 8 月) - :newspaper: [虚拟机在壳程序中的应用研究](https://www.semanticscholar.org/paper/The-Application-Research-of-Virtual-Machine-in-Wen-yu/fff04e0073ac2018bff5242919cdca47deacad7a) (2011 年 8 月) - :notebook: [AppSpear：针对加壳 Android 恶意软件的字节码解密与 DEX 重组](https://link.springer.com/chapter/10.1007/978-3-319-26362-5_17) (2015 年 11 月) - :newspaper: [军备竞赛：对抗搜索击败了用于检测恶意软件的熵](https://www.sciencedirect.com/science/article/pii/S0957417418306535) (2018 年 10 月) - :closed_book: [评估加壳检测的静态和动态特征](https://link.springer.com/chapter/10.1007/978-3-031-73887-6_12) (2024 年 10 月) :star: - :page_facing_up: [评估加壳对基于机器学习的恶意软件检测和分类系统的影响](https://www.sciencedirect.com/science/article/pii/S016740482500183X) (2025 年 9 月) :star: - :newspaper: [针对静态机器学习反恶意软件工具的变形攻击审计](https://linkinghub.elsevier.com/retrieve/pii/S0167404820304326) (2021 年 3 月) :star: - :mortar_board: [虚拟机壳程序的自动化静态分析](https://core.ac.uk/outputs/16750878) (2013 年 8 月) - :newspaper: [使用机器学习的恶意软件行为自动分析](https://dl.acm.org/doi/10.5555/2011216.2011217) (2011 年 12 月) - :newspaper: [用于解释恶意软件分类器的对抗样本自动生成](https://www.semanticscholar.org/reader/040a0020e054e050e52a829902cfe0defad8c6ac) (2020 年 3 月) - :notebook: [恶意软件二进制文件的自动静态脱壳](https://ieeexplore.ieee.org/document/5328814) (2009 年 10 月) - :newspaper: [BareUnpack：裸机操作系统上的通用脱壳](https://www.jstage.jst.go.jp/article/transinf/E101.D/12/E101.D_2017EDP7424/_article) (2018 年 12 月) - :newspaper: [高维分类数据中过滤式特征选择的基准](https://linkinghub.elsevier.com/retrieve/pii/S016794731930194X) (2020 年 3 月) :star: - :newspaper: [超越沙箱：利用符号执行进行逃避型恶意软件分类](https://linkinghub.elsevier.com/retrieve/pii/S016740482400498X) (2025 年 2 月) :star: - :newspaper: [主流壳程序工具中的二进制代码混淆](https://dl.acm.org/doi/10.1145/2522968.2522972) (2013 年 10 月) - :newspaper: [用于识别加壳可执行文件的 BinStat 工具](http://www.ijofcs.org/abstract-v06n1-pp03.html) (2010 年 9 月) - :newspaper: [特征相似性：加壳恶意软件版本识别的家族内聚类](https://ieeexplore.ieee.org/document/8951062) (2020 年 9 月) :star: - :notebook: [BitBlaze：通过二进制分析实现计算机安全的新途径](https://link.springer.com/chapter/10.1007/978-3-540-89862-7_1) (2008 年 12 月) - :notebook: [BODMAS：一个用于基于学习的 PE 恶意软件时间分析的开放数据集](https://ieeexplore.ieee.org/document/9474321) (2021 年 5 月) :star: - :notebook: [提升基于异常的加壳可执行文件过滤的可扩展性](https://link.springer.com/chapter/10.1007%2F978-3-642-34704-7_3) (2011 年 11 月) - :mortar_board: [构建恶意软件变异工具](https://dial.uclouvain.be/memoire/ucl/object/thesis:45960) (2024 年 6 月) - :mortar_board: [使用机器学习构建智能且自动化的加壳恶意软件检测工具](https://dial.uclouvain.be/memoire/ucl/en/object/thesis:25193) (2020 年 6 月) - :mortar_board: [构建高质量的加壳可执行文件数据集 - 通过精选的加壳二进制数据集增强静态检测模型](https://hdl.handle.net/2078.2/44553) (2025 年 8 月) :star: - :newspaper: [使用 DBI 工具绕过商业保护器的反分析方法](https://ieeexplore.ieee.org/document/9312198) (2021 年 1 月) :star: - :newspaper: [使用黑盒测试绕过 Heaven’s Gate 技术](https://www.mdpi.com/1424-8220/23/23/9417) (2023 年 11 月) :star: - :notebook: [BYTEWEIGHT：学习识别二进制代码中的函数](https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/bao) (2014 年 8 月) - :notebook: [ByteWise：神经网络混淆识别的案例研究](https://ieeexplore.ieee.org/document/8301720/) (2018 年 1 月) - :notebook: [静态深度学习恶意软件检测器针对补丁和追加攻击的认证鲁棒性](https://dl.acm.org/doi/10.1145/3605764.3623914) (2023 年 11 月) :star: - :notebook: [通过进化式恶意软件混淆挑战杀毒软件](https://link.springer.com/chapter/10.1007%2F978-3-319-31153-1_11) (2016 年 4 月) - :notebook: [针对商业代码虚拟化混淆器的选择指令攻击](https://ink.library.smu.edu.sg/sis_research/7354) (2022 年 4 月) :star: - :newspaper: [在卷积神经网络上利用结构熵进行恶意软件分类](https://ojs.aaai.org/index.php/AAAI/article/view/11409) (2018 年 4 月) - :newspaper: [为准确的计算机病毒检测对加壳可执行文件进行分类](http://www.sciencedirect.com/science/article/pii/S0167865508002110) (2008 年 10 月) - :notebook: [使用深度图卷积神经网络将表示为控制流图的加壳恶意软件进行分类](https://ieeexplore.ieee.org/document/9103752) (2020 年 3 月) :star: - :notebook: [将加壳程序归类为检测到的恶意软件](https://www.semanticscholar.org/paper/Classifying-Packed-Programs-as-Malicious-Software-Osaghae/676f38819a0ed3028acce36f4f11b0c77e4cc0ae) (2016 年 12 月) - :newspaper: [深入探讨每日恶意软件样本数据集](https://dl.acm.org/doi/10.1145/3291061) (2019 年 1 月) :star: - :mortar_board: [用于软件保护的代码混淆技术](https://cosicdatabase.esat.kuleuven.be/backend/publications/files/these/199) (2012 年 4 月) - :notebook: [用于加壳可执行文件识别的集体分类](https://dl.acm.org/doi/proceedings/10.1145/2030376) (2011 年 9 月) - :newspaper: [一种用于恶意软件分析的便携式可执行文件加壳识别的紧凑型多步框架](https://www.researchsquare.com/article/rs-3974855/v1) (2024 年 2 月) :star: - :notebook: [加壳可执行文件识别中分类器的比较分析](https://ieeexplore.ieee.org/abstract/document/8995252) (2019 年 11 月) :star: - :newspaper: [软件保护方案比较分析](https://www.researchgate.net/publication/281653855_A_Comparative_Analysis_of_Software_Protection_Schemes) (2014 年 6 月) - :notebook: [使用二进制纹理分析和动态分析的恶意软件分类对比评估](https://dl.acm.org/doi/10.1145/2046684.2046689) (2011 年 9 月) - :notebook: [比较用于脱壳的恶意软件样本：一项可行性研究](https://ieeexplore.ieee.org/document/7782073) (2016 年 8 月) - :mortar_board: [基于复杂度的高准确率加壳可执行文件分类](https://caislab.kaist.ac.kr/publication/thesis_files/2009/Thesis_Hanyoung.pdf) (2008 年 12 月) - :notebook: [基于反混淆工具对比分析的综合混淆检测与去除解决方案](https://ieeexplore.ieee.org/document/9645824) (2021 年 10 月) :star: - :mortar_board: 用于恶意软件生成的计算智能技术 (2015 年 10 月) - :newspaper: [降维算法 (PCA, KPCA, LDA, MDS, SVD, LLE, ISOMAP, LE, ICA, t-SNE) 的概念与实证比较](https://linkinghub.elsevier.com/retrieve/pii/S1574013721000186) (2021 年 5 月) - :newspaper: [一种基于一致执行的图结构恶意软件壳程序识别方法](https://ieeexplore.ieee.org/document/8695825) (2019 年 4 月) :star: - :newspaper: [基于可执行文件静态分析的新型启发式恶意软件检测机制的构建与评估](http://link.springer.com/10.1007/s11416-017-0309-3) (2018 年 8 月) - :notebook: [一种基于控制流图的壳程序识别签名](https://ieeexplore.ieee.org/document/8170793) (2017 年 10 月) :star: - :newspaper: [用于恶意软件检测的基于控制流的操作码行为分析](https://www.sciencedirect.com/science/article/pii/S0167404814000558) (2014 年 7 月) - :notebook: [应对针对加壳软件检测的熵测量攻击](https://ieeexplore.ieee.org/document/6181079) (2012 年 1 月) - :notebook: [通过位精确符号循环映射检测混淆二进制文件中的加密函数](https://ieeexplore.ieee.org/abstract/document/7958617) (2017 年 5 月) - :bookmark: [使用对抗样本欺骗端到端深度学习恶意软件检测器](https://arxiv.org/abs/1802.04528) (2019 年 1 月) :star: - :notebook: [利用实际对抗样本欺骗便携式可执行文件恶意软件分类器进行定向误分类](https://dl.acm.org/doi/10.1145/3374664.3375741) (2020 年 3 月) - :page_facing_up: [解码恶意软件分类中机器学习的秘密：深入探讨数据集、特征提取和模型性能](https://dl.acm.org/doi/10.1145/3576915.3616589) (2023 年 11 月) :star: - :notebook: [针对基于主机的通用脱壳器的拒绝服务攻击](https://link.springer.com/chapter/10.1007/978-3-642-11145-7_19) (2009 年 12 月) - :mortar_board: [加壳和虚拟化混淆保护二进制文件的反混淆](https://repository.arizona.edu/handle/10150/202716) (2011 年 6 月) - :closed_book: [通过符号执行和编译优化对虚拟化混淆代码进行反混淆](https://link.springer.com/10.1007/978-3-319-89500-0_28) (2018 年 4 月) - :notebook: [虚拟化混淆软件的反混淆：一种基于语义的方法](https://dl.acm.org/doi/10.1145/2046707.2046739) (2011 年 10 月) - :notebook: [用于恶意软件检测的新型扫描核心引擎的设计与开发](https://ieeexplore.ieee.org/document/6388212) (2012 年 10 月) - :mortar_board: [模块化可执行文件加壳器的设计与实现 - 加壳技术与静态检测实验](https://hdl.handle.net/2078.2/42846) (2025 年 6 月) :star: - :notebook: [用于保护嵌入式软件免受逆向工程的二进制代码加壳设计与性能评估](https://ieeexplore.ieee.org/document/5479571) (2010 年 5 月) - :newspaper: [使用精简操作码集和优化的运行时轨迹检测混淆恶意软件](https://security-informatics.springeropen.com/articles/10.1186/s13388-016-0027-2) (2016 年 5 月) - :notebook: [使用余弦相似度分析检测混淆病毒](https://ieeexplore.ieee.org/document/4148653/) (2007 年 3 月) - :notebook: [检测加壳可执行文件：监督学习还是异常检测方法？](https://ieeexplore.ieee.org/abstract/document/7784628) (2016 年 8 月) - :newspaper: [基于原始二进制数据检测加壳可执行文件](https://www.semanticscholar.org/paper/DETECTING-PACKED-EXECUTABLES-BASED-ON-RAW-BINARY-Nataraja-Jacobb/53371424fb79de29a096e563b07fcae432f4d201) (2010 年 6 月) - :notebook: [使用隐写分析检测加壳可执行文件](https://ieeexplore.ieee.org/document/7018361) (2014 年 12 月) - :mortar_board: [检测加壳 PE 文件：Windows 操作系统的可执行文件分析](https://uia.brage.unit.no/uia-xmlui/handle/11250/2823655) (2021 年 6 月) :star: - :notebook: [果断地检测传统壳程序](https://link.springer.com/chapter/10.1007/978-3-642-41284-4_10) (2013 年 10 月) - :newspaper: [通过对操作码模式应用分类技术检测未知的恶意代码](https://doi.org/10.1186/2190-8532-1-1) (2012 年 2 月) - :notebook: [使用多层 LSTM 网络检测变形恶意软件壳程序](https://link.springer.com/10.1007/978-3-030-61078-4_3) (2020 年 11 月) star: - :notebook: [使用支持向量机检测加壳可执行文件](https://ieeexplore.ieee.org/document/6016774) (2011 年 7 月) - :notebook: [加壳恶意软件检测](https://dl.acm.org/doi/10.1145/2490428.2490431) (2012 年 8 月) - :notebook: [DexHunter：致力于从加壳 Android 应用中提取隐藏代码](https://link.springer.com/chapter/10.1007/978-3-319-24177-7_15) (2015 年 9 月) - :notebook: [在用户级调试器中禁用脱壳系统的反调试技术](https://ieeexplore.ieee.org/document/8939719) (2019 年 10 月) - :newspaper: [DroidPDF：针对 Android 应用的抗混淆壳程序检测框架](https://ieeexplore.ieee.org/document/9144572) (2020 年 7 月) - :notebook: [用于反混淆与脱壳的动态二进制插桩](https://hal.inria.fr/inria-00431666) (2009 年 11 月) - :notebook: [使用熵分析进行加壳算法的动态分类以检查可执行文件](https://ieeexplore.ieee.org/document/6703681) (2013 年 10 月) - :notebook: [使用朴素贝叶斯检测加壳恶意软件的动态启发式方法](https://ieeexplore.ieee.org/document/8959765) (2019 年 11 月) :star: - :newspaper: [有效、高效且鲁棒的加壳检测与分类](http://www.sciencedirect.com/science/article/pii/S0167404818311040) (2019 年 5 月) :star2: :star2: :star2: - :newspaper: [一种提取基于控制流的特征以检测 IoT 恶意软件的高效算法](https://academic.oup.com/comjnl/article-abstract/64/4/599/5940626) (2021 年 4 月) :star: - :notebook: [针对加壳二进制文件的高效自动化插桩](https://link.springer.com/chapter/10.1007/978-3-642-02617-1_32) (2009 年 6 月) - :newspaper: [高效自动的原始入口点检测](https://www.airitilibrary.com/Article/Detail/10162364-201907-201906210002-201906210002-887-902) (2019 年 1 月) - :newspaper: [一种高效的块判别式加壳恶意软件识别方法](https://link.springer.com/article/10.1007%2Fs12046-015-0399-x) (2015 年 8 月) - :notebook: [使用带频谱核支持向量机的高效恶意软件壳程序识别](https://ieeexplore.ieee.org/document/6621654) (2013 年 7 月) - :newspaper: [基于二进制差异度量的高效 SVM 壳程序识别](https://ieeexplore.ieee.org/document/8754440) (2019 年 7 月) - :newspaper: [ELF-Miner：利用结构知识和数据挖掘方法检测新型 (Linux) 恶意可执行文件](https://dl.acm.org/doi/10.5555/2150963.2150968) (2012 年 3 月) - :notebook: [EMBER2024 - 用于全面评估恶意软件分类器的基准数据集](https://dl.acm.org/doi/10.1145/3711896.3737431) (2025 年 8 月) :star: - :bookmark: [EMBER：用于训练静态 PE 恶意软件机器学习模型的开放数据集](https://arxiv.org/abs/1804.04637) (2018 年 4 月) :star: :star: - :notebook: [使用动态二进制插桩实现的脱壳方法的实证评估](https://www.jstage.jst.go.jp/article/transinf/E94.D/9/E94.D_9_1778/_article) (2011 年 9 月) - :notebook: [通过可执行文件头部分析的编码可执行文件检测技术](https://www.earticle.net/Article/A105986) (2009 年 4 月) - :newspaper: [增强的变形技术 - 针对 Havex 恶意软件的案例研究](https://ieeexplore.ieee.org/document/9504559/) (2021 年 8 月) :star: - :notebook: [通过强化学习增强基于机器学习的恶意软件检测模型](https://dl.acm.org/doi/10.1145/3290480.3290494) (2018 年 11 月) - :notebook: [用于恶意软件检测的未知加壳算法熵分析分类](https://link.springer.com/article/10.1007/s10207-016-0330-4) (2016 年 5 月) :star: - :newspaper: [用于分析和检测变形恶意软件的基于熵的距离度量](http://link.springer.com/10.1007/s10489-017-1045-6) (2018 年 6 月) - :notebook: [gview 中由熵驱动的可视化：揭开二进制文件格式中的未知面](https://ieeexplore.ieee.org/document/10896404) (2024 年 9 月) :star: - :newspaper: [ERMDS：用于评估基于学习的恶意软件检测系统鲁棒性的混淆数据集](https://www.scopus.com/inward/record.uri?eid=2-s2.0-85172316495&doi=10.1016%2fj.tbench.2023.100106&partnerID=40&md5=74252d50feb21959b6563650c1c977c2) (2023 年 5 月) - :notebook: [ESCAPE：加壳可执行文件的熵值评分分析](https://dl.acm.org/doi/10.1145/2388576.2388607) (2012 年 10 月) - :notebook: [Ether：通过硬件虚拟化扩展进行恶意软件分析](https://dl.acm.org/doi/10.1145/1455770.1455779) (2008 年 10 月) - :notebook: [Eureka：一个支持静态恶意软件分析的框架](https://link.springer.com/chapter/10.1007%2F978-3-540-88313-5_31) (2008 年 10 月) - :newspaper: [利用深度强化学习逃避反恶意软件引擎](https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8676031) (2019 年 3 月) :star: - :notebook: [规避加壳检测：突破基于启发式的静态检测器](https://link.springer.com/chapter/10.1007/978-3-031-64171-8_9) (2024 年 7 月) :star: - :notebook: [恶意软件加壳检测中机器学习模型的实验比较](https://ieeexplore.ieee.org/document/9237007) (2020 年 9 月) :star: - :notebook: [识别加壳器中混淆技术的实验研究](https://docplayer.net/63501103-An-experimental-study-on-identifying-obfuscation-techniques-in-packer.html) (2016 年 6 月) - :notebook: [用于操作可执行文件加壳的实验工具包](https://link.springer.com/chapter/10.1007/978-3-031-61231-2_17) (2024 年 6 月) :star: :star: - :mortar_board: [用于研究可执行文件加壳的实验工具包 - 前沿加壳检测技术分析](https://dial.uclouvain.be/memoire/ucl/en/object/thesis%3A35692) (2022 年 6 月) :star: - :notebook: [探索恶意软件检测中的对抗样本](https://ieeexplore.ieee.org/document/8844597) (2019 年 5 月) :star: - :newspaper: [快速鲁棒的独立成分分析定点算法](https://ieeexplore.ieee.org/document/761722) (1999 年 5 月) - :notebook: [一种基于快速流图的加壳和多态恶意软件分类系统](https://ieeexplore.ieee.org/document/5474800/) (2010 年 4 月) - :notebook: [一种保留局部细节的快速随机性测试](https://researchrepository.rmit.edu.au/esploro/outputs/conferenceProceeding/A-fast-randomness-test-that-preserves-local-detail/9921861589001341) (2008 年 10 月) - :newspaper: [基于强化学习的恶意软件检测特征选择](https://ieeexplore.ieee.org/document/8920059) (2019 年 12 月) - :newspaper: [基于关联规则挖掘的壳程序分类特征选择](https://www.sciencedirect.com/science/article/pii/S0952197624012417) (2024 年 8 月) :star: - :notebook: [用于检测加壳可执行文件的特征集缩减](https://ieeexplore.ieee.org/document/6912767) (2014 年 6 月) - :newspaper: [从恶意软件视角看文件加壳：技术、分析方法与增强方向](https://dl.acm.org/doi/10.1145/3530810) (2022 年 12 月) :star: :star: - :notebook: [文件指纹：通过 n-gram 分析识别文件类型](https://ieeexplore.ieee.org/document/1495935) (2005 年 6 月) - :notebook: [针对加壳恶意代码的细粒度分类方法](https://link.springer.com/chapter/10.1007/978-3-642-34129-8_49) (2012 年 10 月) - :newspaper: [一种用于变形恶意软件分析与实时检测的框架](https://linkinghub.elsevier.com/retrieve/pii/S0167404814001576) (2015 年 2 月) - :newspaper: [保持功能的 Windows 恶意软件对抗样本黑盒优化](https://ieeexplore.ieee.org/document/9437194) (2021 年 5 月) :star: - :newspaper: [G3MD：挖掘频繁操作码子图以检测现有家族的变形恶意软件](https://linkinghub.elsevier.com/retrieve/pii/S0957417418303580) (2018 年 12 月) - :bookmark: [基于 GAN 生成用于黑盒攻击的对抗性恶意软件样本](http://arxiv.org/abs/1702.05983) (2020 年 2 月) :star: - :notebook: [可执行代码自动反混淆的通用方法](https://ieeexplore.ieee.org/document/7163054) (2015 年 5 月) :star: - :notebook: [针对最先进基于 API 调用的恶意软件分类器的通用黑盒端到端攻击](https://link.springer.com/chapter/10.1007/978-3-030-00470-5_23) (2018 年 9 月) :star: - :newspaper: [使用多种复杂度分析进行通用加壳检测以实现准确的恶意软件检测](https://www.researchgate.net/publication/332594129_Generic_Packing_Detection_using_Several_Complexity_Analysis_for_Accurate_Malware_Detection?channel=doi&linkId=5cbf828b299bf120977ac78a&showFulltext=true) (2014 年 1 月) - :notebook: [通用可执行文件脱壳器](https://www.semanticscholar.org/paper/Generic-Unpacker-of-Executable-Files-Milkovi/413321c5a473d59c18e861c1478cd44f88142275) (2015 年 4 月) - :notebook: [基于原始入口点检测的通用脱壳方法](https://link.springer.com/chapter/10.1007/978-3-642-42054-2_74) (2013 年 11 月) - :bookmark: [自修改、激进的加壳二进制程序的通用脱壳](https://arxiv.org/abs/0905.4581) (2009 年 5 月) - :notebook: [通用脱壳技术](https://ieeexplore.ieee.org/document/4909168) (2009 年 2 月) - :notebook: [使用熵分析的通用脱壳](https://ieeexplore.ieee.org/document/5665789) (2010 年 10 月) - :notebook: [GUARD：基于 sIAT 的通用 API 反混淆与混淆恶意软件脱壳](https://dl.acm.org/doi/10.1145/3672608.3707893) (2025 年 3 月) :star: - :newspaper: [支持基于哈希的加密和反调试器将多个文件打包到单个可执行文件中](http://ijarcs.info/index.php/Ijarcs/article/view/5526/4622) (2018 年 2 月) - :notebook: [一种用于检测混淆恶意软件的启发式方法](https://ieeexplore.ieee.org/document/5137328) (2009 年 6 月) - :newspaper: [一种基于启发式的静态分析方法用于检测加壳 PE 二进制文件](http://article.nadiapub.com/IJSIA/vol7_no5/24.pdf) (2013 年 10 月) - :notebook: [利用无监督学习突出加壳可执行文件更改的影响](https://link.springer.com/chapter/10.1007/978-3-031-89350-6_23) (2025 年 4 月) :star: - :newspaper: [寻找变形引擎](http://link.springer.com/10.1007/s11416-006-0028-7) (2006 年 11 月) - :newspaper: [通过静态分析中的多层特征工程识别恶意软件壳程序](https://www.mdpi.com/2078-2489/15/2/102) (2024 年 2 月) :star: - :notebook: [在 Bochs 模拟器上实现通用脱壳方法](https://www.semanticscholar.org/paper/An-Implementation-of-a-Generic-Unpacking-Method-on-HyungChanKim-Daisuke/d5c947520815105231673f1b87af57ed6abd379c) (2009 年 9 月) - :newspaper: [一种使用 PE 头部和节表信息改进的加壳恶意软件检测方法](https://www.mecs-press.org/ijcnis/ijcnis-v11-n9/v11n9-2.html) (2019 年 9 月) - :newspaper: [使用多视图集成学习改进恶意软件检测](https://onlinelibrary.wiley.com/doi/abs/10.1002/sec.1600) (2016 年 8 月) :star: - :scroll: [使用基于转换后 CFG 的特征对恶意软件壳程序进行增量聚类](https://hal.science/hal-03940881) (2022 年 11 月) :star: - :notebook: [用于加壳和编码文件分类的信息论方法](https://dl.acm.org/doi/10.1145/2799979.2800015) (2015 年 9 月) - :notebook: [基于指令的复杂混淆与加壳检测](https://ieeexplore.ieee.org/document/6956729) (2014 年 10 月) - :bookmark: [问题空间中对抗性机器学习攻击的有趣属性](https://arxiv.org/abs/1911.02142) (2020 年 3 月) :star: - :bookmark: [神经网络的有趣属性](https://arxiv.org/abs/1312.6199) (2014 年 2 月) - :newspaper: [使用集成特征集检测可移植可执行文件恶意程度的学习模型](https://www.sciencedirect.com/science/article/pii/S1319157817300149) (2017 年 1 月) - :bookmark: [通过强化学习学习逃避静态 PE 机器学习恶意软件模型](https://arxiv.org/abs/1801.08917) (2018 年 1 月) :star: - :notebook: [恶意软件检测中静态分析的局限性](https://ieeexplore.ieee.org/document/4413008) (2007 年 12 月) - :green_book: [恶意软件逃避技术流行度的纵向研究](https://arxiv.org/abs/2112.11289) (2021 年 12 月) :star: - :bookmark: [MAB-Malware：用于攻击静态恶意软件分类器的强化学习框架](https://arxiv.org/abs/2003.03100) (2021 年 4 月) :star: - :notebook: [支持恶意软件检测与分析的基于机器学习的框架](https://link.springer.com/chapter/10.1007/978-3-030-86970-0_25) (2021 年 9 月) :star: - :mortar_board: [Maitland：通过半虚拟化扩展分析加壳和加密恶意软件](https://dspace.library.uvic.ca/handle/1828/3866) (2012 年 6 月) - :notebook: [Mal-EVE：针对逃避型恶意软件的静态检测模型](https://ieeexplore.ieee.org/document/7497952) (2015 年 8 月) - :newspaper: [Mal-flux：渲染加壳二进制可执行文件的隐藏代码](http://www.sciencedirect.com/science/article/pii/S1742287618303736) (2019 年 3 月) - :newspaper: [Mal-XT：更高率的加壳二进制可执行文件隐藏代码提取](https://iopscience.iop.org/article/10.1088/1757-899X/453/1/012001) (2018 年 11 月) - :newspaper: [Mal-xtract：使用内存分析的隐藏代码提取](https://iopscience.iop.org/article/10.1088/1742-6596/801/1/012058) (2017 年 1 月) - :newspaper: [MaliCage：基于 DNN 和 GAN 的加壳恶意软件家族分类框架](https://www.sciencedirect.com/science/article/pii/S2214212622001296) (2022 年 8 月) :star: - :newspaper: [MALICIA 数据集：识别与分析隐蔽下载操作](https://dl.acm.org/doi/abs/10.1007/s10207-014-0248-7) (2015 年 2 月) - :newspaper: [使用多重 API 序列挖掘控制流图进行恶意软件分析](https://arxiv.org/abs/1707.02691) (2017 年 7 月) - :newspaper: [使用可视化图像和熵图进行恶意软件分析](https://link.springer.com/article/10.1007%2Fs10207-014-0242-0) (2015 年 2 月) - :mortar_board: [使用机器学习通过操作码序列分析进行恶意软件检测](https://api.semanticscholar.org/CorpusID:70282638) (2015 年 6 月) - :notebook: [基于静态特征提取的恶意软件家族分类方法](https://ieeexplore.ieee.org/document/8322598) (2017 年 12 月) - :notebook: [恶意软件图像：可视化与自动分类](https://dl.acm.org/doi/10.1145/2016904.2016908) (2011 年 7 月) - :notebook: [恶意软件大改造：通过修改可执行文件字节来突破基于机器学习的静态分析](http://arxiv.org/abs/1912.09064) (2021 年 5 月) :star: - :notebook: [恶意软件混淆技术简述](https://ieeexplore.ieee.org/document/5633410) (2010 年 11 月) - :notebook: [通过进化式壳程序实现的恶意软件混淆](https://dl.acm.org/doi/10.1145/2739482.2764940) (2015 年 7 月) - :newspaper: [Malwise - 针对加壳和多态恶意软件的高效分类系统](https://ieeexplore.ieee.org/document/6171162) (2013 年 6 月) - :notebook: [McBoost：利用可执行文件的统计分类提升恶意软件收集和分析的可扩展性](https://ieeexplore.ieee.org/document/4721567) (2008 年 12 月) - :closed_book: [测量与击败配备反插桩技术的恶意软件](http://link.springer.com/10.1007/978-3-319-60876-1_4) (2017 年 6 月) - :notebook: [隐蔽调试环境下的基于内存行为的自动恶意软件脱壳](https://ieeexplore.ieee.org/document/5665794) (2010 年 10 月) - :notebook: [MetaAware：识别变形恶意软件](https://ieeexplore.ieee.org/document/4413007) (2007 年 12 月) - :notebook: [使用机器学习从混淆程序中恢复元数据](https://dl.acm.org/doi/10.1145/3015135.3015136) (2016 年 12 月) - :newspaper: [基于支持向量机的恶意软件子签名分类的变形恶意软件检测](http://telkomnika.uad.ac.id/index.php/TELKOMNIKA/article/view/3850) (2016 年 9 月) - :newspaper: [使用基于协同操作码图的引擎特定模式识别变形恶意软件](https://linkinghub.elsevier.com/retrieve/pii/S0920548919302685) (2020 年 8 月) :star: - :newspaper: [利用机器学习和熵分布特征模拟杀毒软件](https://www.mdpi.com/1099-4300/21/5/513) (2019-05-21) - :notebook: [MLxPack：使用静态和动态特征研究加壳对基于机器学习的恶意软件检测系统的影响](https://dl.acm.org/doi/10.1145/3494108.3522768) (2022 年 5 月) :star: - :notebook: [现代 Linux 恶意软件揭秘](https://www.eurecom.fr/fr/publication/5584) (2018 年 6 月) - :newspaper: [MSG：用于变形恶意软件检测的缺失序列生成器](https://www.sciencedirect.com/science/article/pii/S2214212624002643) (2025 年 3 月) :star: - :notebook: [MutantX-S：基于静态特征的可扩展恶意软件聚类](https://www.usenix.org/conference/atc13/technical-sessions/presentation/hu) (2013 年 6 月) - :notebook: [基于脱壳算法和壳程序检测程序的新型签名生成方法](https://www.earticle.net/Article/A147420) (2011 年 2 月) - :bookmark: [用于有效恶意软件家族分类的新型特征提取、选择与融合](https://arxiv.org/abs/1511.04317) (2016 年 3 月) - :newspaper: [一种基于图像和深度神经网络的恶意软件检测新框架](https://linkinghub.elsevier.com/retrieve/pii/S0167404821002248) (2021 年 10 月) :star: - :notebook: [针对混淆的弹性加壳恶意软件可执行文件 Payload 提取](https://www.usenix.org/conference/usenixsecurity21/presentation/cheng-binlin) (2021 年 8 月) :star: - :newspaper: [混淆：隐藏的恶意软件](https://ieeexplore.ieee.org/document/5975134) (2011 年 8 月) - :notebook: [混淆：我们在反 DSE 保护中处于什么位置？（首次尝试）](https://dl.acm.org/doi/10.1145/3371307.3371309) (2019 年 12 月) - :notebook: [Obfuscator-LLVM：大众化的软件保护](https://ieeexplore.ieee.org/document/7174804) (2015 年 5 月) - :notebook: [OmniUnpack：快速、通用且安全的恶意软件脱壳](https://ieeexplore.ieee.org/document/4413009) (2007 年 12 月) - :newspaper: [论通过节注入欺骗恶意软件分类](https://arxiv.org/abs/2208.06092) (2022 年 8 月) :star: - :bookmark: [关于评估对抗鲁棒性](https://arxiv.org/abs/1902.06705) (2019 年 2 月) :star: - :notebook: [论混淆程序的可能性与不可能性](https://link.springer.com/chapter/10.1007/3-540-44647-8_1) (2001 年 8 月) - :newspaper: [论混淆程序的可能性与不可能性 (2)](https://dl.acm.org/doi/10.1145/2160158.2160159) (2012 年 4 月) - :newspaper: [论采用异常检测进行加壳可执行文件过滤](https://www.sciencedirect.com/science/article/pii/S0167404814000522?via%3Dihub) (2014 年 6 月) - :notebook: [论通过硬件辅助循环分析进行恶意软件脱壳的可行性](https://dl.acm.org/doi/10.5555/3620237.3620656) (2023 年 8 月) :star: - :newspaper: [操作码序列作为可执行文件的表示，用于基于数据挖掘的未知恶意软件检测](https://linkinghub.elsevier.com/retrieve/pii/S0020025511004336) (2013 年 5 月) :star: - :newspaper: [操作码作为恶意软件的预测因子](https://www.inderscienceonline.com/doi/abs/10.1504/IJESDF.2007.016865) (2008 年 1 月) - :notebook: [OPEM：一种基于机器学习的恶意软件检测的静态-动态方法](https://link.springer.com/chapter/10.1007/978-3-642-33018-6_28) (2012 年 9 月) - :newspaper: [基于图相似性的原始入口点检测](https://link.springer.com/chapter/10.1007/978-3-031-57537-2_22) (2024 年 4 月) :star: - :newspaper: [一种带有候选排序的原始入口点检测方法，用于更有效的通用脱壳](https://www.jstage.jst.go.jp/article/transinf/E98.D/4/E98.D_2014EDP7268/_article) (2015 年 1 月) - :notebook: [使用香农熵和同态加密可执行文件进行加壳代码检测](https://ieeexplore.ieee.org/document/10793050) (2024 年 10 月) :star: - :newspaper: [使用熵相关分析进行加壳恶意软件检测：一项调查](https://www.semanticscholar.org/paper/7bc891420300f6e4c4d97d19a14d5c6a4dd422f0) (2015 年 11 月) - :newspaper: [使用深度信念网络检测加壳恶意软件变种](https://www.matec-conferences.org/articles/matecconf/abs/2020/05/matecconf_cscns2020_02002/matecconf_cscns2020_02002.html) (2020 年 3 月) - :notebook: [用于恶意软件取证的加壳 PE 文件检测](https://ieeexplore.ieee.org/document/5404211) (2009 年 12 月) - :newspaper: [基于关联规则挖掘的壳程序分类](https://www.sciencedirect.com/science/article/pii/S1568494622005245) (2022 年 7 月) :star: - :notebook: [基于 PE 头信息的壳程序分类器](https://dl.acm.org/doi/10.1145/2746194.2746213) (2015 年 4 月) - :newspaper: [使用熵分析的多层可执行文件壳程序检测](https://www.mdpi.com/1099-4300/19/3/125) (2017 年 3 月) :star: - :notebook: [基于元数据签名的壳程序识别](https://dl.acm.org/doi/10.1145/3151137.3160687) (2017 年 12 月) :star: - :notebook: [基于字节序列的壳程序识别方法](https://onlinelibrary.wiley.com/doi/abs/10.1002/cpe.5082) (2018 年 11 月) - :notebook: [使用 k-最近邻熵算法的多层可执行文件壳程序识别方法](https://ieeexplore.ieee.org/document/9366089) (2020 年 10 月) :star: - :notebook: [使用字节图和马尔可夫图的壳程序识别](https://link.springer.com/article/10.1007/s11416-015-0249-8) (2015 年 9 月) - :notebook: [使用隐马尔可夫模型的壳程序识别](https://link.springer.com/chapter/10.1007/978-3-319-69456-6_8) (2017 年 11 月) - :mortar_board: [PANDA 中的壳程序复杂度分析](https://webthesis.biblio.polito.it/7519/) (2018 年 1 月) - :notebook: [PackGenome：自动生成鲁棒的 YARA 规则以进行准确的恶意软件壳程序检测](https://dl.acm.org/doi/10.1145/3576915.3616625) (2023 年 11 月) :star: - :bookmark: [PackHero：一种可扩展的基于图的高效壳程序识别方法](https://re.public.polimi.it/handle/11311/1284225) (2025 年 7 月) :star: - :mortar_board: [依靠机器学习进行加壳检测与分类以阻止恶意软件传播](https://theses.hal.science/tel-03781104) (2021 年 12 月) :star: - :mortar_board: [潘多拉的 Bochs：恶意软件的自动脱壳](https://www.researchgate.net/publication/268355151_Pandora%27s_Bochs_Automatic_Unpacking_of_Malware) (2008 年 1 月) - :notebook: [用于恶意软件壳程序分类的模式识别技术](https://link.springer.com/chapter/10.1007/978-3-642-14081-5_23) (2010 年 7 月) - :newspaper: [PE 文件特征在加壳可执行文件检测中的应用](https://www.ijcte.org/show-42-485-1.html) (2012 年 1 月) - :notebook: [基于 PE 文件头部分析的加壳 PE 文件检测技术 (PHAD)](https://ieeexplore.ieee.org/document/4654055) (2008 年 10 月) - :notebook: [PE-Miner：挖掘结构信息以实时检测恶意可执行文件](https://link.springer.com/chapter/10.1007/978-3-642-04342-0_7) (2009 年 9 月) - :notebook: [PE-Probe：利用壳程序检测和结构信息检测恶意可移植可执行文件](https://www.semanticscholar.org/paper/PE-Probe%3A-Leveraging-Packer-Detection-and-to-Detect-Shafiq-Tabish/9811ec751f2b5bb41ee46c0ee2a3b6eccc39bb9a) (2009 年 6 月) - :notebook: [PEAL - 加壳可执行文件分析](https://link.springer.com/chapter/10.1007/978-3-642-29280-4_28) (2012 年 1 月) - :newspaper: [基于过滤器的特征选择技术在分类可移植可执行文件中的性能评估](https://linkinghub.elsevier.com/retrieve/pii/S1877050917328107) (2018 年 1 月) :star: - :newspaper: [PEzoNG：用于在 Windows 上自动逃避的高级壳程序](https://link.springer.com/article/10.1007/s11416-022-00417-2) (2022 年 12 月) :star: - :newspaper: [机器学习在计算机安全中的陷阱](https://dl.acm.org/doi/10.1145/3643456) (2024 年 10 月) - :notebook: [PolyPack：用于实现最佳杀毒规避的自动化在线加壳服务](https://dl.acm.org/doi/10.5555/1855876.1855885) (2009 年 8 月) - :notebook: [PolyUnpack：自动化提取执行脱壳的恶意软件的隐藏代码](https://ieeexplore.ieee.org/document/4041175) (2006 年 12 月) - :newspaper: [通过基于栈的自修改代码实现 potent 且隐蔽的控制流混淆](http://ieeexplore.ieee.org/document/6473885/) (2013 年 4 月) - :newspaper: [针对机器学习的实际攻击：以对抗性 Windows 恶意软件为例](https://arxiv.org/abs/2207.05548) (2022 年 9 月) :star: - :notebook: [面向可重定向反编译的二进制可执行文件预处理](https://www.fit.vut.cz/research/publication/10200) (2013 年 7 月) - :notebook: [恶意软件生态系统中低熵加壳方案的流行度与影响](https://www.ndss-symposium.org/wp-content/uploads/2020/02/24297.pdf) (2020 年 2 月) :star: - :notebook: [通过强密码学实现程序混淆](https://ieeexplore.ieee.org/document/5438087) (2010 年 2 月) - :notebook: [RAMBO：具有多重分支观察的运行时壳程序分析](https://link.springer.com/chapter/10.1007/978-3-319-40667-1_10) (2016 年 7 月) - :mortar_board: [REFORM：使用信息论和统计方法的恶意软件壳程序分析框架](https://scispace.com/papers/reform-a-framework-for-malware-packer-analysis-using-2muwuyaeox) (2010 年 4 月) - :notebook: [Renovo：针对加壳可执行文件的隐藏代码提取器](https://dl.acm.org/doi/10.1145/1314389.1314399) (2007 年 11 月) - :notebook: [RePEconstruct：重建具有自修改代码和导入地址表破坏的二进制文件](https://ieeexplore.ieee.org/document/7888727) (2016 年 10 月) - :notebook: [RePEF — 用于恶意软件分析的加壳可执行文件恢复系统https://ieeexplore.ieee.org/document/6016777) (2011 年 7 月) - :newspaper: [针对受虚拟机保护应用程序的替换攻击](https://dl.acm.org/doi/10.1145/2365864.2151051) (2012 年 9 月) - :notebook: [PE 文件压缩壳脱壳技术的研究与实现](https://ieeexplore.ieee.org/document/5231651) (2009 年 5 月) - :newspaper: [PE 文件加壳技术的研究与实现](https://www.semanticscholar.org/paper/Research-and-Implementation-of-Packing-Technology-Senlin/c973f26f2ac8c1861cc5d714f0d579135fa1491e) (2013 年 1 月) - :notebook: [基于加壳技术的软件信息隐藏算法研究](https://link.springer.com/chapter/10.1007/978-981-15-8086-4_8) (2020 年 9 月) - :newspaper: [复活反虚拟化和反调试：解除你的钩子](https://linkinghub.elsevier.com/retrieve/pii/S0167739X20330284) (2021 年 3 月) :star: - :newspaper: [揭示加壳恶意软件](https://ieeexplore.ieee.org/document/4639028) (2008 年 9 月) - :notebook: [逆向工程自修改代码：脱壳器提取](https://ieeexplore.ieee.org/document/5645447) (2010 年 10 月) - :mortar_board: [鲁棒的可移植可执行文件恶意软件静态分析](https://repo.zenk-security.com/Virus-Infections-Detections-Preventions/Robust%20Static%20Analysis%20ofPortable%20ExecutableMalware.pdf) (2014 年 12 月) - :notebook: [SATURN - 基于 LLVM 的软件反混淆框架](https://dl.acm.org/doi/10.1145/3338503.3357721) (2019 年 11 月) - :newspaper: [SCORE：源代码优化与重建](https://ieeexplore.ieee.org/document/9139493) (2020 年 7 月) - :notebook: [SE-PAC：针对壳程序快速演进的自演进壳程序分类器](https://dl.acm.org/doi/10.1145/3422337.3447848) (2021 年 4 月) :star: - :newspaper: [使用计算机模拟的安全高级脱壳](https://link.springer.com/article/10.1007%2Fs11416-007-0046-0) (2007 年 8 月) - :notebook: [用于加壳可执行文件检测的半监督学习](https://ieeexplore.ieee.org/document/6060027) (2011 年 9 月) - :notebook: [用于未知恶意软件检测的半监督学习](https://link.springer.com/chapter/10.1007/978-3-642-19934-9_53) (2011 年 4 月) - :newspaper: [基于敏感系统调用使用主成分初始化多层神经网络的加壳恶意软件变种检测](https://cybersecurity.springeropen.com/articles/10.1186/s42400-018-0010-y) (2018 年 9 月) - :newspaper: [基于顺序操作码嵌入的恶意软件检测方法](https://www.sciencedirect.com/science/article/pii/S0045790622000210) (2022 年 3 月) :star: - :newspaper: [奇异值分解与变形检测](http://link.springer.com/10.1007/s11416-014-0220-0) (2015 年 11 月) - :newspaper: [SMASH：一种基于多特征集成学习的恶意软件检测方法](https://ieeexplore.ieee.org/document/8792043/) (2019 年 8 月) - :newspaper: [通过反调试实现软件保护](http://ieeexplore.ieee.org/document/4218560/) (2007 年 5 月) - :notebook: [SoK：战争的艺术：二进制分析中的攻击技术](https://ieeexplore.ieee.org/document/7546500) (2016 年 5 月) - :notebook: [SoK：虚拟化保护应用程序的自动反混淆](https://dl.acm.org/doi/10.1145/3465481.3465772) (2021 年 8 月) :star: - :notebook: [SoK：深度壳程序检查：运行时壳程序复杂度的纵向研究](https://ieeexplore.ieee.org/document/7163053) (2015 年 5 月) :star: - :mortar_board: [用于攻防的无源码二进制变异](https://api.semanticscholar.org/CorpusID:113759144) (2014 年 12 月) - :notebook: [SPADE：基于签名的壳程序检测](https://dl.acm.org/doi/10.1145/2490428.2490442) (2012 年 8 月) - :notebook: [基于 REMNUX 恶意软件识别的可移植可执行文件静态分析方法](https://ieeexplore.ieee.org/document/8923331) (2019 年 10 月) - :notebook: [可执行文件的静态分析以检测恶意模式](https://dl.acm.org/doi/10.5555/1251353.1251365) (2003 年 8 月) - :mortar_board: [使用无监督学习探索可执行文件加壳的静态特征](https://www.ecam.be?1) (2023 年 6 月) :star: - :newspaper: [静态恶意软件检测与掩护：量化机器学习和当前杀毒软件的鲁棒性](http://arxiv.org/abs/1806.04773) (2018 年 6 月) - :notebook: [一种静态的、与壳无关的过滤器，用于检测相似的恶意软件样本](https://link.springer.com/chapter/10.1007/978-3-642-37300-8_6) (2012 年 7 月) - :newspaper: [用于优化恶意软件检测的二进制可执行文件头结构分析](http://link.springer.com/10.1007/s11416-016-0274-2) (2017 年 5 月) - :newspaper: [结构熵与变形恶意软件](http://link.springer.com/10.1007/s11416-013-0185-4) (2013 年 11 月) - :notebook: [基于结构特征的加壳可执行文件识别异常检测](https://link.springer.com/chapter/10.1007%2F978-3-642-21323-6_29) (2011 年 6 月) - :notebook: [加壳 PE 逃避静态检测的研究](https://ieeexplore.ieee.org/document/6280206) (2012 年 6 月) - :notebook: [壳程序问题及其解决方案的研究](https://link.springer.com/chapter/10.1007/978-3-540-87403-4_6) (2008 年 9 月) - :newspaper: [针对恶意软件分析的对抗攻击综述](https://ieeexplore.ieee.org/document/10806701) (2024 年 12 月) :star: - :newspaper: [自动动态恶意软件分析技术与工具综述](https://doi.org/10.1145/2089125.2089126) (2008 年 3 月) - :notebook: [基于机器学习的恶意软件检测与分类技术综述](https://ieeexplore.ieee.org/document/9718826) (2021 年 9 月) :star: - :newspaper: [恶意软件分析技术综述：静态、动态、混合与内存分析](https://ijaseit.insightsociety.org/index.php/ijaseit/article/view/6827) (2018 年 9 月) - :notebook: [恶意软件逃避技术综述：前沿与挑战](https://ieeexplore.ieee.org/abstract/document/6174775) (2012 年 2 月) - :newspaper: [运行时壳程序与缓解技术综述](https://link.springer.com/article/10.1007/s10207-023-00759-y) (2023 年 11 月) :star: :star: - :notebook: [符号反混淆：从虚拟化代码回归原始代码](https://link.springer.com/chapter/10.1007/978-3-319-93411-2_17) (2018 年 7 月) - :notebook: [混淆代码的符号执行](https://dl.acm.org/doi/10.1145/2810103.2813663) (2015 年 10 月) :star: - :notebook: [Syntia：合成混淆代码的语义](https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/blazytko) (2017 年 8 月) - :newspaper: [Windows 恶意软件中逃避行为的系统性与纵向研究](https://linkinghub.elsevier.com/retrieve/pii/S0167404821003746) (2022 年 2 月) :star: - :bookmark: [关于 cleverhans v2.1.0 对抗样本库的技术报告](https://arxiv.org/abs/1610.00768) (2018 年 6 月) :star: - :notebook: [关于 Android (脱)壳你所不知道的事：基于全系统仿真的系统性研究。](https://www.ndss-symposium.org/wp-content/uploads/2018/02/ndss2018_04A-4_Duan_paper.pdf) (2018 年 2 月) - :notebook: [ thwarting 实时动态脱壳](https://dl.acm.org/doi/10.1145/1972551.1972556) (2011 年 1 月) - :notebook: [一种用于防止逆向工程 PE 文件的令牌强化加密壳程序](https://ieeexplore.ieee.org/document/7280213) (2015 年 1 月) - :notebook: [迈向用于恶意软件分析的通用脱壳技术，附带代码揭示量化](https://www.researchgate.net/publication/255608911_Toward_Generic_Unpacking_Techniques_for_Malware_Analysis_with_Quantification_of_Code_Revelation) (2009 年 8 月) - :notebook: [为大规模 Windows 恶意软件分析铺平道路：具有数倍性能提升的通用二进制脱壳](https://dl.acm.org/doi/10.1145/3243734.3243771) (2018 年 10 月) :star: - :notebook: [迈向虚拟化混淆二进制文件的静态分析](https://ieeexplore.ieee.org/document/6385102) (2012 年 10 月) - :bookmark: [超越 Transcend：重新审视存在概念漂移时的恶意软件分类](https://arxiv.org/abs/2010.03856) (2021 年 12 月) :star: - :notebook: [教程：恶意软件检测与逃避技术概述](https://inria.hal.science/hal-01964222) (2018 年 12 月) - :newspaper: [检测加壳可移植可执行文件的两种技术](https://ieeexplore.ieee.org/document/6636333) (2013 年 6 月) - :notebook: [通过动态编译器优化实现无条件自修改代码消除](https://ieeexplore.ieee.org/document/5665795) (2010 年 10 月) - :notebook: [理解 Linux 恶意软件](https://ieeexplore.ieee.org/document/8418602) (2018 年 5 月) - :notebook: [使用 OPCODE 表示检测未知恶意代码](http://link.springer.com/10.1007/978-3-540-89900-6_21) (2008 年 12 月) - :notebook: [一个脱壳与重建系统 - agunpacker](https://ieeexplore.ieee.org/document/5374512) (2009 年 1 月) - :mortar_board: [针对加壳恶意可执行文件的脱壳框架](https://repositorio-aberto.up.pt/bitstream/10216/68815/2/25935.pdf) (2013 年 7 月) - :closed_book: [现实世界中的恶意软件脱壳：分步指南](https://link.springer.com/chapter/10.1007/978-3-031-66245-4_13) (2024 年 7 月) :star: - :newspaper: [恶意软件分析中的脱壳技术与工具](https://www.scientific.net/AMM.198-199.343) (2012 年 9 月) - :notebook: [虚拟化混淆器的脱壳](https://dl.acm.org/doi/10.5555/1855876.1855877) (2009 年 8 月) - :mortar_board: [加壳可执行文件上的无监督聚类机器学习](https://dial.uclouvain.be/memoire/ucl/en/object/thesis%3A35687) (2022 年 6 月) :star: - :newspaper: [UnThemida：针对完全混淆程序的商业混淆技术分析](https://onlinelibrary.wiley.com/doi/abs/10.1002/spe.2622) (2018 年 7 月) :star: - :newspaper: [使用熵分析查找加密和加壳的恶意软件](https://ieeexplore.ieee.org/document/4140989) (2007 年 3 月) - :notebook: [VABox：一个基于虚拟化的虚拟化混淆加壳可执行文件分析框架](https://link.springer.com/chapter/10.1007/978-3-030-78621-2_6) (2021 年 6 月) :star: - :notebook: [VMAttack：去混淆虚拟化加壳二进制文件](https://dl.acm.org/doi/10.1145/3098954.3098995) (2017 年 8 月) - :notebook: [VMHunt：一种可验证的部分虚拟化二进制代码简化方法](https://dl.acm.org/doi/10.1145/3243734.3243827) (2018 年 10 月) :star: - :notebook: [VMRe：一个针对虚拟机保护加壳二进制文件的逆向框架](https://ieeexplore.ieee.org/document/8923473) (2019 年 6 月) - :newspaper: [水印、防篡改与混淆 - 软件保护的工具](http://ieeexplore.ieee.org/document/1027797/) (2002 年 8 月) - :newspaper: [软件熵的小波分解揭示恶意代码的症状](https://linkinghub.elsevier.com/retrieve/pii/S2352664516300220) (2016 年 12 月) - :notebook: [当恶意软件火力全开（加壳）时；基于静态分析特征的机器学习分类器的局限性](https://www.ndss-symposium.org/wp-content/uploads/2020/02/24310.pdf) (2020 年 1 月) :star: :star: - :newspaper: [WYSINWYX：你所见的并非你所执行的](https://dl.acm.org/doi/10.1145/1749608.1749612) (2010 年 8 月) - :newspaper: [x64Unpack：用于 64 位 Windows 环境的混合模拟脱壳器及 VMProtect 3.4 的详细分析结果](https://ieeexplore.ieee.org/document/9139515) (2020 年 7 月) :star: - :notebook: [Xunpack：针对 Linux IoT 恶意软件的跨架构脱壳器](https://dl.acm.org/doi/10.1145/3607199.3607214) (2023 年 10 月) :star:

## :bookmark_tabs: 数据集 - [BODMAS](https://github.com/whyisyoung/BODMAS) - 我们 DLS'21 论文的代码 - BODMAS：一个用于基于学习的 PE 恶意软件时间分析的开放数据集。 - [Contagio](https://contagiodump.blogspot.com) - 最新恶意软件样本、威胁、观察与分析的集合。 - [CyberCrime](https://cybercrime-tracker.net/vx.php) - C² 跟踪与恶意软件数据库。 - [Dataset of Packed ELF](https://github.com/dhondta/dataset-packed-elf) - 加壳 ELF 样本合集。 - [Dataset of Packed PE](https://github.com/dhondta/dataset-packed-pe) - 经过清理的原始 PackingData 数据集版本，不仅移除了 Notpacked 文件夹中未打包的加壳样本，还移除了加壳文件夹中未能成功加壳的样本（与原始未加壳可执行文件具有相同哈希值）。 - [Ember](https://github.com/elastic/ember) - 从 PE 文件中提取的特征集合，作为研究人员的基准数据集。 - [Ember2024](https://github.com/futurecomputing4ai/ember2024) - EMBER2017 和 EMBER2018 数据集的更新版- [FFRI Dataset Scripts](https://github.com/FFRI/ffridataset-scripts) - 用于制作 FFRI 数据集等数据集的脚本。 - [MaleX](https://github.com/Mayachitra-Inc/MaleX) - 为恶意软件研究人员策划的包含恶意和良性 Windows 可执行文件样本的数据集，包含 1,044,394 个 Windows 可执行二进制文件及相应的图像表示，其中 864,669 个被标记为恶意软件，179,725 个为良性软件。 - [Malfease](https://web.archive.org/web/20141221153307/http://malfease.oarci.net) - 包含约 5,000 个加壳恶意软件样本的数据集。 - [Malheur](https://web.archive.org/web/20240928172928/https://www.sec.cs.tu-bs.de/data/malheur) - 包含记录的恶意软件行为，曾用于开发分类和聚类恶意软件行为的方法（参见 2011 年的 JCS 文章）。 - [Malicia](https://web.archive.org/web/20220615143940/http://malicia-project.com/dataset.html) - 在 2013 年的 11 个月内从 500 个隐蔽下载服务器收集的 11,688 个恶意 PE 文件数据集（已停止维护）。 - [MalShare](https://malshare.com) - 免费的恶意软件存储库，为研究人员提供样本、恶意动态源和 Yara 结果的访问权限。 - [Malware Archive](https://github.com/jstrosch/malware-samples) - 恶意软件样本、分析练习和其他有趣资源。 - [The Malware Museum](https://archive.org/details/malwaremuseum) - 恶意软件程序集合（通常是病毒），这些程序曾在 20 世纪 80 年代和 90 年代在个人计算机上传播。 - [MalwareBazaar](https://bazaar.abuse.ch/browse) - 由 abuse.ch 运营的项目，旨在收集和共享恶意软件样本，帮助 IT 安全研究人员和威胁分析师保护其选区和客户免受网络威胁。 - [MalwareGallery](https://www.malwaregallery.com) - 互联网上的又一个恶意软件集合。 - [MalwareSamples](https://github.com/MalwareSamples) - 为您带来互联网上最糟糕（最好）的文件。 - [MalwareTips](https://malwaretips.com) - 社区驱动的平台，提供有关恶意软件和网络威胁的最新信息和资源。 - [OARC Malware Dataset](https://www.dns-oarc.net) - 半公开数据集，包含从 2005 年 9 月到 2006 年 1 月由邮件陷阱、用户提交、蜜罐和其他来源在野外捕获的 3,467 个样本，由 OARC 汇总，经请求可提供给合格的学术界和工业界研究人员。 - [Open Malware Project](https://web.archive.org/web/20190116100735/http://www.offensivecomputing.net/) - 在线恶意软件样本集合（前身为 Offensive Computing）。 - [PackingData](https://github.com/chesvectain/PackingData) - 使用多种壳程序打包样本 PE 文件的原始数据集，包括 ASPack、BeRoEXEPacker、exe32pack、eXpressor、FSG、JDPack、MEW、Molebox、MPRESS、Neolite、NSPack、Pckman、PECompact、PEtite、RLPack、UPX、WinUpack、Yoda's Crypter 和 Yoda's Protector。 - [Packware](https://github.com/ucsb-seclab/packware) - 复现论文 "When Malware is Packing Heat" 中实验所需的数据集和代码。 - [RCE Lab](https://github.com/apuromafo/RCE_Lab) - Crackme、keygenme、serialme 程序；"tuts4you" 文件夹包含许多加壳二进制文件。 - [Runtime Packers Testset](https://www.researchgate.net/publication/268030543_Runtime_Packers_The_Hidden_Problem) - 包含 10 个常见恶意软件文件的数据集，使用约 40 种不同的运行时壳程序在 500 多个版本和选项中进行加壳，总计约 5,000 个样本。 - [SAC](https://www.sac.sk/files.php?d=7&l=) - 斯洛伐克杀毒中心，AVIR 和 ESET 公司的非商业项目；包含壳程序、检测器和脱壳器。 - [SOREL](https://github.com/sophos-ai/SOREL-20M) - Sophos-ReversingLabs 2000 万数据集。 - [theZoo](https://github.com/ytisf/theZoo) - 旨在向公众开放和提供恶意软件分析可能性的项目。 - [ViruSign](https://web.archive.org/web/20200615094642/http://www.virusign.com/) - 另一个在线恶意软件数据库。 - [VirusSamples](https://www.virussamples.com) - 互联网上最糟糕类型的文件集锦。 - [VirusShare](https://virusshare.com) - 拥有超过 4400 万个样本的病毒在线数据库。 - [VirusSign](https://www.virussign.com) - 致力于在数字世界中对抗恶意软件的庞大数据库。 - [VirusTotal](https://www.virustotal.com/gui/) - 用于检测恶意软件的文件分析 Web 服务。 - [VX Heaven](https://web.archive.org/web/20170817143838/http://vxheaven.org/) - 致力于提供有关计算机病毒信息的网站。 - [VX Underground](https://vx-underground.org/Samples) - 基于 PL-CERT 的开源 MWDB python 应用程序，包含一个恶意软件数据库，存有自 2010 年以来的每个 APT 样本及超过 750 万个恶意二进制文件。 - [VXvault](http://vxvault.net/ViriList.php) - 在线恶意软件数据库。 - [WildList](https://web.archive.org/web/20220927214837/http://www.wildlist.org/CurrentList.txt) - 由安全专业人员报告的在野恶意软件合作列表。

## :package: 壳程序 ### 2010 年之后 - [Alienyze](https://alienyze.com) - 针对 Windows 32 位可执行文件的高级软件保护和安全工具。 - [Alternate EXE Packer](https://www.alternate-tools.com/pages/c_exepacker.php) - 用于可执行文件（EXE 类型）或 DLL 的压缩工具，依赖于 UPX 3.96。 - [Amber](https://github.com/EgeBalci/amber/releases) - 位置无关（反射式）PE 加载器，支持在内存中执行原生 PE 文件（EXE, DLL, SYS）。 - [Andromeda](https://blog.morphisec.com/andromeda-tactics-analyzed) - 恶意软件活动中使用的自定义壳程序，利用 RunPE 技术逃避杀毒软件的缓解措施。 - [APKProtect](https://sourceforge.net/projects/apkprotect) - 支持Java和C++的APK加密和壳保护工具。 - [Armadillo](https://web.archive.org/web/20030324043555/https://www.exetools.com/files/protectors/win/armd252b2.zip) - 结合了许可证管理器和包装系统的 PE 文件保护工具。 - [ASM Guard](https://github.com/DosX-dev/ASM-Guard) - 用于压缩和复杂化已编译原生代码（ - [cryptelf](https://packetstormsecurity.com/files/30886/cryptelf.c.html) - 通过追加处理运行时解密的代码来修改二进制文件，更改程序 EP 并将 .note 段改为 LOAD；通过用密钥对其字节进行异或（XOR）来加密 .text 节。 - [CryptExec](http://phrack.org/issues/63/13.html) - 使用按需函数提取的下一代运行时二进制加密。 - [EXE Guarder](http://www.exeicon.com/exeguarder) - PE 文件的授权工具，允许压缩并指定密码提示。 - [EXE Wrapper](https://web.archive.org/web/20160331144211/http://533soft.com/exewrapper) - 使用密码保护任何 EXE 文件免受未经授权的执行。 - [Exe32Pack](https://exe32pack.apponic.com/) - 压缩 Win32 EXE、DLL 等文件，并在执行时动态展开它们。 - [EXECryptor](https://execryptor.freedownloadscenter.com/windows) - 保护 EXE 程序免受逆向工程、分析、修改和破解。 - [ExeFog](https://www.delphibasics.info/home/delphibasicscounterstrikewireleases/exefog11-executablepackerbybagie) - 简单的 Win32 PE 文件加壳工具。 - [eXPressor](https://www.cgsoftlabs.ro/express.html) - 作为压缩工具使用，可将 EXE 文件压缩至正常大小的一半。 - [FSG](https://web.archive.org/web/20030324043555/https://www.exetools.com/files/compressors/win/fsg.zip) - *Fast Small Good*，适用于小型 exe 的完美压缩器，例如。 - [GHF Protector](https://www.delphibasics.info/home/delphibasicscounterstrikewireleases/ghfprotector10) - 基于开源引擎 Morphine 和 AHPack 的可执行文件加壳/保护工具。 - [HackStop](https://defacto2.net/f/a520164?packer=hs) - EXE 和 COM 程序加密器及保护器。 - [Kkrunchy](http://www.farbrausch.de/~fg/kkrunchy) - 主要用于 64k intros 的小型 exe 加壳工具。 - [Laturi](http://laturi.haxor.fi) - 链接器和压缩器，旨在用于 macOS 1k、4k 以及可能的 64K intros。 - [mPack](https://blog.fearcat.in/a?ID=00050-86a031da-e36f-4409-9a08-d3d993dbf8f5) - Mario PACKer 简单的 Win32 PE 可执行文件压缩器。 - [NSPack](https://nspack.apponic.com) - 32/64 位 exe、dll、ocx、scr Windows 程序压缩器。 - [NTPacker](https://hacking-software-free-download.blogspot.com/2013/02/nt-packer-v21.html) - 依赖 aPlib 进行压缩和/或依赖 XOR 进行加密的 PE 文件加壳工具。 - [PECompact](http://www.bitsum.com/pec2.asp) - Windows 可执行文件压缩器，具有提供防逆向工程保护的第三方插件。 - [RDMC](https://www.sac.sk/download/pack/rdm006be.zip) - 基于 DMC 算法的加壳工具。 - [RLPack](https://web.archive.org/web/20070527132336/http://rlpack.jezgra.net) - 以保持较小体积的方式压缩您的可执行文件和动态链接库，且不影响压缩文件的功能。 - [RSCC](https://defacto2.net/f/a520164?packer=rscc) - ROSE Super COM Crypt；适用于大于 300-400B 且小于 60kB 文件的多态加密器。 - [RUCC](https://defacto2.net/f/a520164?packer=rucc) - ROSE Ultra COM Compressor；基于 624 的 COM 和 EXE 压缩工具。 - [Sentinel HASP Envelope](https://cpl.thalesgroup.com/en-gb/software-monetization/all-products/sentinel-hasp) - 保护性封装应用程序，通过安全盾牌保护目标应用程序，提供对抗逆向工程和其他反调试措施的手段。 - [sePACKER](https://sourceforge.net/projects/sepacker/) - 简单的可执行文件加壳工具，压缩可执行文件的代码节以减小二进制文件的大小。 - [Shiva](https://packetstormsecurity.com/files/31087/shiva-0.95.tar.gz.html) - 在 Linux 下加密 ELF 可执行文件的工具。 - [tElock](https://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/Telock.shtml) - 实用工具，旨在帮助希望保护其工作成果并减小可执行文件体积的开发者。 - [TTProtect](https://web.archive.org/web/20081218083606/http://www.ttprotect.com/en/index.htm) - 为软件开发商设计的专业保护工具，保护其 PE 应用程序免受非法修改或反编译。 - [UPack](https://www.sac.sk/download/pack/upack399.rar) - 压缩 Windows PE 文件。 - [UPX-Scrambler](https://defacto2.net/f/a520164?packer=upxs) - 针对（最高至 1.06 版本）UPX 加壳文件的混淆器，使其无法使用 '-d' 选项进行脱壳。 - [WinUpack](https://www.sac.sk/download/pack/wupck039.zip) - Upack 的图形界面，Upack 是一个命令行程序，用于从 Windows PE 文件创建自解压档案。 - [x86.Virtualizer](http://rewolf.pl) - x86 虚拟化工具。 - [XComp](http://www.soft-lab.de/JoKo/index_old.htm) - PE32 映像文件加壳和重建工具。 - [Yoda Crypter](https://sourceforge.net/projects/yodap/files/Yoda%20Crypter/1.3/yC1.3.zip/download) - 支持多态加密、softice 检测、反调试 API、防转储等功能，加密导入表并擦除 PE 头。 - [Yoda Protector](http://yodap.sourceforge.net) - 免费开源的 Windows 32 位软件保护器。

### 2000 年之前 - [32Lite](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/32lte02d.zip) - 用于使用 Watcom C/C++ 编译器创建的可执行文件的压缩工具。 - [624](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/624-11.zip) - 可以压缩短于 25000 字节的 COM 程序的 COM 加壳工具。 - [ABK Scrambler](https://defacto2.net/f/a520164?packer=abk-scrambler) - 从 ABKprot 重新编码的 COM 文件混淆器和保护器。 - [AEP](https://defacto2.net/f/a520164?packer=aep) - COM 和 EXE 文件的附加编码保护工具。 - [AINEXE](https://defacto2.net/f/a520164?packer=ainexe) - DOS 可执行文件加壳工具（AIN Archiver 套件的一部分）。 - [aPack](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/apack099.zip) - 16 位实模式 DOS 可执行文件（.EXE 和 .COM）压缩器。 - [AVPack](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/avpck122.zip) - 加密 EXE 或 COM 文件，使其只能在您的 PC 上启动。 - [AXE](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/axe22.zip) - 程序压缩实用工具。 - [BIN-Lock](https://defacto2.net/f/a520164?packer=bin-lock) - 用于防止逆向工程的 COM 文件混淆器。 - [BitLok](https://defacto2.net/f/a520164?packer=bitlok) - COM 和 EXE 文件保护器。 - [CauseWay Compressor](https://gitlab.com/tkchia/causeway) - DOS EXE 压缩器。 - [CC Pro](https://defacto2.net/f/a520164?packer=ccpro) - COM 和 EXE 可执行文件压缩实用工具。 - [CEXE](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/win/cexe10a.zip) - 将输入的 EXE 压缩成更小的可执行文件（仅在 WinNT、Win2000 及更高版本上运行 - 无法在 Win95 或 Win98 上运行）。 - [COMProtector](https://defacto2.net/f/a520164?packer=comprotector) - 通过随机加密并添加几种反调试技巧，在 DOS .COM 文件周围添加安全外壳。 - [CrackStop](https://defacto2.net/f/a520164?packer=crackstop) - 在 DOS EXE 文件周围创建安全外壳以保护其免受破解者攻击的工具。 - [Crunch](https://defacto2.net/f/a520164?packer=crunch) - COM 和 EXE 文件的加密器。 - [EPack](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/epack16.zip) - EXE 和 COM 文件压缩器；适用于 DOS/Windows95 文件。 - [ExeGuard](https://defacto2.net/f/a520164?packer=exeguard) - 使用反调试技巧防止黑客攻击、分析和脱壳的免费 DOS EXE 文件保护器。 - [EXELOCK 666](https://defacto2.net/f/a520164?packer=exelock666) - 用于保护 .EXE 文件的实用工具，以防菜鸟黑客破解版权。 - [Fire-Pack](http://files.dhs.nu/files_source/axe.zip?fire-pack) - [FSE](https://defacto2.net/f/a520164?packer=fse) - Final Fantasy Security Envelope 免费软件，用于保护 COM 和 EXE 程序。 - [Gardian Angel](https://defacto2.net/f/a520164?packer=gardian-angel) - 使用各种反调试技巧的 COM 和 EXE 加密器和保护器。 - [JMCryptExe](https://defacto2.net/f/a520164?packer=jmce) - DOS EXE 加密器。 - [LGLZ](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/lglz104b.zip) - 使用改进的 LZ77 的 DOS EXE 和 COM 文件压缩器。 - [LzExe](https://defacto2.net/f/a520164?packer=lzexe) - MS-DOS 可执行文件压缩器。 - [Mask](https://defacto2.net/f/a520164?packer=mask) - 使用加密和反调试技巧防止 COM 程序被破解的工具。 - [Megalite](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/megal120.zip) - MS-DOS 可执行文件压缩器。 - [Mess](https://defacto2.net/f/a520164?packer=mess) - 此工具的功能与 HackStop 相同，不同之处在于它是供非商业使用的免费软件。 - [Morphine](https://github.com/bowlofstew/rootkit.com/blob/master/hf/Morphine27) - 用于 PE 文件加密的应用程序。 - [Neolite](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/win/neolte20.zip) - 压缩 Windows 32 位 EXE 文件和 DLL。 - [PACK](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/pack201.zip) - 可执行文件压缩器。 - [Pack-Ice](http://files.dhs.nu/files_source/axe.zip?pack-ice) - [PCShrink](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/win/pcsnk071.zip) - 依赖 aPLib 压缩库的 Windows 9x/NT 可执行文件压缩器。 - [PE Diminisher](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/win/ped.zip) - 依赖 aPLib 压缩库的简单 PE 加壳工具。 - [PE-Protector](https://web.archive.org/web/20030324043555/https://www.exetools.com/files/protectors/win/pe-protector10.zip) - 适用于 Windows 9x/ME 的加密器/保护器，以极强的保护力度保护 PE 可执行文件免受逆向工程或破解。 - [PEBundle](https://bitsum.com/pebundle.htm) - 将 DLL 物理附加到可执行文件，在内存中解析依赖项。 - [PEPack](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/win/pepack10.zip) - 基于较新版本 PE-SHiELD 代码的 PE 压缩工具。 - [PKlite](https://defacto2.net/f/a520164?packer=pklite) - 用于压缩 DOS 和 Windows 可执行文件的易于使用的文件压缩程序。 - [Pro-Pack](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/pp219.zip) - DOS 可执行文件压缩器。 - [RERP](https://www.sac.sk/download/pack/rerp.rar) - ROSE 的 EXE 重定位加壳工具。 - [RJCrush](https://www.sac.sk/download/pack/rjc-beta.zip) - 具有压缩覆盖层能力的 EXE 和 COM 文件压缩器。 - [Scorpion](https://defacto2.net/f/a520164?packer=scorpion) - EXE 和 COM 文件加密器和保护器。 - [SecuPack](https://web.archive.org/web/20210119235522/https://www.exetools.com/files/compressors/win/secupack15.zip) - Win32 可执行文件压缩器。 - [Shrinker](https://www.sac.sk/download/pack/shrinker.exe) - 压缩（高达 70%）16 位和 32 位 Windows 以及实模式 DOS 程序。 - [SPack](https://www.sac.sk/download/pack/spack20.zip) - [$PIRIT](https://defacto2.net/f/a520164?packer=%24pirit) - COM/EXE 可执行文件多态加密器。 - [SysPack](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/syspack.zip) - 设备驱动程序压缩器。 - [T-Pack](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/tpack05.zip) - 针对如 BBS-Addys 或类似小型文件优化的可执行 COM-FILE 压缩器（LZ77）。 - [TinyProg](https://www.sac.sk/download/pack/tinyp39.zip) - EXE 和 COM 程序压缩器。 - [TRAP](https://defacto2.net/f/a520164?packer=trap) - EXE 和 COM 文件加密器和保护器。 - [Vacuum](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/vacuum.zip) - 用于 DOS32 可执行文件的运行时压缩器。 - VGCrypt - 适用于 Win95/98/NT 的 PE 加密器。 - [WinLite](https://www.sac.sk/download/pack/winlite1.zip) - 压缩 Windows 可执行文件（如 DOS 下可执行程序的 Pklite、Diet 或 Wwpack）。 - [WWPack](https://defacto2.net/f/a520164?packer=wwpack) - 压缩 EXE 文件，压缩重定位表，优化标头，保护 EXE 文件免受黑客攻击。 - [XE](https://defacto2.net/f/a520164?packer=xe) - PE32 映像文件加壳和重建工具。 - [XorCopy](https://defacto2.net/f/a520164?packer=xorcopy) - 基于 XOR 的 COM 文件加密器。 - [XORER](https://defacto2.net/f/a520164?packer=xorer) - 基于 XOR 的 COM 文件加密器。 - [XPA](https://web.archive.org/web/20060111104142/http://www.exetools.com/files/compressors/dos/xpa.zip) - DOS 可执行文件加壳工具。 - [XPack](https://defacto2.net/f/a520164?packer=xpack) - EXE/COM/SYS 可执行文件压缩器。

## :wrench: 工具 - [Android Unpacker](https://github.com/strazzere/android-unpacker) - 在 Defcon 22 上展示：Android 黑客保护级别 0。 - [Angr](https://github.com/angr/angr) - 跨平台二进制分析框架。 - [APKiD](https://github.com/rednaga/APKiD) - Android 应用程序标识符，用于识别加壳器、保护器、混淆器和异常情况 - Android 版 PEiD。 - [aPLib](https://ibsensoftware.com/products_aPLib.html) - 基于 aPACK 中使用的算法的压缩库。 - [AppSpear](https://github.com/UchihaL/AppSpear) - 适用于 Dalvik 和 ART 的通用自动脱壳系统。 - [Assiste (Packer)](#bookmark_tabs-datasets) - Assiste.com 的加壳器示例列表。 - [AVClass](https://github.com/malicialab/avclass) - 用于标记/分类恶意软件样本的 Python 工具。 - [Bintropy](https://github.com/dhondta/bintropy) - 原型分析工具，用于估算二进制文件包含压缩或加密字节的可能性。 - [BinUnpack](https://dl.acm.org/doi/10.1145/3243734.3243771?-) - 免于繁琐内存访问监控的脱壳方法，因此引入了极小的运行时开销。 - [Binutils](https://www.gnu.org/software/binutils) - GNU Binutils 是 Linux 二进制工具的集合（其中包含 Readelf）。 - [BitBlaze](http://bitblaze.cs.berkeley.edu/release/index.html) - 分析平台，具有静态和动态分析技术的新颖融合、混合具体和符号执行以及全系统仿真和二进制插桩等特性，所有这些都是为了促进对真实安全问题的最前沿研究。 - [Capa](https://github.com/mandiant/capa) - 用于识别 PE、ELF 或 .NET 可执行文件中功能的开源工具。 - [Capstone](https://www.capstone-engine.org) - 轻量级多平台、多架构反汇编框架。 - [Cave-Finder](https://github.com/adamhlt/Cave-Finder) - 用于在 PE 映像（x86 / x64）中查找代码洞穴的工具 - 在 PE 文件中查找放置代码的空隙。 - [CFF Explorer](https://ntcore.com/?page_id=388) - PE32/64 和 .NET 编辑器，Explorer Suite 的一部分。 - [ChkEXE](https://defacto2.net/f/a91dea6?dosmachine=svga&dosspeed=max) - 识别几乎所有的 EXE/COM 加壳器、加密器或保护器。 - [Clamscan Unpacker](https://clamunpacker.sourceforge.io/) - 从 ClamAV 派生的脱壳器。 - [COM2EXE](https://defacto2.net/f/a520164?tool=com2exe) - 用于将 COM 文件转换为 EXE 格式的免费工具。 - [de4dot](https://github.com/0xd4d/de4dot) - .NET 反混淆器和脱壳器。 - [de4js](https://github.com/lelinhtinh/de4js) - JavaScript 反混淆器和脱壳器。 - [Defacto2 Analyzers Archive](https://defacto2.net/f/aa2e6ec) - 收录了 1990 年代和 2000 年代 60 款用于 MS-DOS 和 Windows32 的二进制文件分析工具。 - [Defacto2 Packers Archive](https://defacto2.net/f/a520164) - 收录了 1990 年代和 2000 年代 460 款用于 MS-DOS 和 Windows32 的二进制文件和数据加壳工具。 - [Defacto2 Unpackers Archive](https://defacto2.net/f/a218ab4) - 收录了 1990 年代和 2000 年代 152 款用于 MS-DOS 和 Windows 32 的二进制文件脱壳工具。 - [DIE](https://github.com/horsicq/DIE-engine/releases) - Detect It Easy；用于确定文件类型的程序。 - [DSFF](https://github.com/packing-box/python-dsff) - DataSet File Format，用于交换数据集并将其转换为 ARFF（用于 Weka）、CSV 或 Packing-Box 的数据集结构。 - [DynamoRIO](https://dynamorio.org) - 运行时代码操纵系统，支持在程序执行时对其任何部分进行代码转换。 - [Emulator](https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/endpoint-protection/all/Using-policies-to-manage-security/preventing-and-handling-virus-and-spyware-attacks-v40739565-d49e172/how-does-the-emulator-in-symantec-endpoint-protect-v121004909-d47e230.html) - Symantec Endpoint Protector（自 v14 起）的功能，能够动态创建虚拟机，以识别、触发并消除隐藏在自定义恶意软件加壳器中的恶意软件。 - [EtherUnpack](https://ether.gtisc.gatech.edu/web_unpack) - 精确的通用自动脱壳器（PolyUnpack 的继任者）。 - [Eureka](https://web.archive.org/web/20150502154942/http://eureka.cyber-ta.org) - 二进制静态分析准备框架，实现了基于统计二元语法分析和粗粒度执行跟踪的新型二进制脱壳策略。 - [EXEInfo-PE](https://github.com/ExeinfoASL/ASL) - 快速的 PE 可执行文件检测器。 - [ExeScan](https://defacto2.net/f/ae2c42e) - 可执行文件分析器，可检测最著名的 EXE/COM 保护器、加壳器、转换器和编译器。 - [EXETools](https://forum.exetools.com) - 讨论逆向工程和可执行文件加壳相关主题的论坛。 - [FUU](https://github.com/crackinglandia/fuu) - 快速通用脱壳器。 - [GetTyp](https://www.helger.com/gt/gt.htm) - 基于特殊字符串和字节码的 DOS 文件格式检测程序。 - [GUnpacker](https://web.archive.org/web/20220121084407/http://qunpack.ahteam.org/?p=327) - 执行 OEP 定位并转储解密代码的 Shell 工具。 - [Gym-Malware](https://github.com/endgameinc/gym-malware) - 这是一个用于 OpenAI gym 的恶意软件操纵环境。 - [IDR](https://github.com/crypto2011/IDR) - 交互式 Delphi 重构器。 - [ImpREC](https://www.aldeid.com/wiki/ImpREC) - 这可用于修复加壳程序的导入表。 - [Justin](https://doi.org/10.1007/978-3-540-87403-4_6) - Just-In-Time AV 扫描；通用脱壳解决方案。 - [Language 2000](https://farrokhi.net/language) - 终极编译器检测实用工具。 - [LIEF](https://github.com/lief-project/LIEF) - 用于插桩可执行格式的库；用于解析 PE、ELF、Mach-O 和 DEX 格式，修改和重建可执行文件的 Python 包。 - Lissom - 可重定向的反编译器，由预处理部分和反编译核心组成。 - [LordPE](https://www.aldeid.com/wiki/LordPE) - PE 头查看器、编辑器和重建工具。 - [Malheur](https://github.com/rieck/malheur) - 用于自动分析恶意软件行为的工具（从沙盒环境中的恶意软件记录）。 - [MalUnpack](https://github.com/hasherezade/mal_unpack) - 基于 PE-sieve 的动态脱壳器。 - [Manalyze](https://github.com/JusticeRage/Manalyze) - 具有灵活插件架构的健壮 PE 文件解析器，允许用户深入静态分析文件。 - [MRC](https://mandiant-red-curtain.apponic.com) - (Mandiant Red Curtain) 面向事件响应人员的免费软件，协助分析恶意软件；它检查可执行文件（如 .exe、.dll 等）以根据一组标准确定它们的可疑程度。 - [.NET Deobfuscator](https://github.com/NotPrab/.NET-Deobfuscator) - .NET 反混淆器和脱壳器列表。 - [NotPacked++](https://github.com/packing-box/packer-masking-tool) - 用于修改加壳样本以规避静态加壳检测的攻击工具。 - [Oedipus](https://github.com/tum-i4/Oedipus) - 一个使用机器学习算法对混淆程序实施元数据恢复攻击的 Python 框架。 - [OEPdet](https://ieeexplore.ieee.org/abstract/document/7782073) - 自动化原始入口点检测器。 - [OllyDbg Scripts](https://github.com/xshows/ollydbg-script) - 用于对许多不同加壳器进行脱壳的 OllyDbg 脚本集合。 - [OmniUnpack](https://doi.org/10.1109/ACSAC.2007.15) - 通过实时监控执行并检测移除的加壳层，实现快速、通用和安全的恶意软件脱壳新技术。 - [PackerAttacker](https://github.com/BromiumLabs/PackerAttacker) - 使用内存和代码钩子检测加壳器的工具。 - [PackerBreaker](https://web.archive.org/web/20150504162711/https://www.sysreveal.com/packerbreaker-intro) - 帮助脱壳、解压缩和解密大多数使用高级仿真技术加壳、压缩或加密的程序的工具。 - [PackerGrind](https://github.com/rewhy/adaptiveunpacker) - 用于跟踪加壳行为和为 Android 加壳应用脱壳的自适应脱壳工具。 - [PackerID](https://github.com/sooshie/packerid) - packerid.py 的分支，使用 PEid 签名并具有附加的输出类型、格式、数字签名提取和反汇编支持。 - [PackID](https://github.com/mesaleh/PackiD) - 使用与 PEiD 相同数据库语法的加壳识别多平台工具/库。 - [Packing-Box](https://github.com/dhondta/docker-packing-box) - Docker 镜像，收集了许多与加壳相关的工具，用于制作加壳可执行文件的数据集以供机器学习使用。 - [PANDA](https://github.com/panda-re/panda) - 平台架构无关的动态分析平台。 - [PANDI](https://github.com/dimitriwauters/PANDI) - 在 PANDA 之上构建的动态加壳检测解决方案。 - [Pandora's Bochs](https://0x0badc0.de/gitweb?p=bochs/.git) - Bochs PC 模拟器的扩展，使其能够监控脱壳存根的执行以提取原始代码。 - [PCjs](https://www.pcjs.org) - 使用 JavaScript 重现 IBM PC 体验，使用原始 ROM，以原始速度运行的 CPU，以及早期的 IBM 显卡和显示器。 - [PE Compression Test](https://web.archive.org/web/20250427032942/http://pect.atspace.com) - 在几个示例可执行文件上测试的加壳器列表，用于比较压缩后的大小。 - [PE Detective](https://ntcore.com/?page_id=367) - 此 GUI 工具可以扫描单个 PE 文件或整个目录（也可递归）并生成完整的报告。 - [PE-bear](https://github.com/hasherezade/pe-bear-releases) - 面向 PE 文件的免费逆向工程工具，旨在为恶意软件分析师提供快速灵活的“第一眼视图”，稳定且能够处理格式错误的 PE 文件。 - [PEdump](https://pedump.me/) - 使用 Ruby 转储 Windows PE 文件。 - [Pefeats](https://github.com/roussieau/masterthesis/tree/master/src/detector/tools/pefeats) - 用于从 PE 文件中提取 119 个特征以供机器学习算法使用的实用工具。 - [Pefile](https://github.com/erocarrera/pefile) - 用于解析和处理可移植可执行文件的多平台 Python 模块。 - [PEFrame](https://github.com/guelfoweb/peframe) - 用于对 PE 恶意软件和通用可疑文件执行静态分析的工具。 - [PEiD](https://web.archive.org/web/20070529035022/https://www.secretashell.com/codomain/peid/) - Packed Executable iDentifier。 - [PEiD (CLI)](https://github.com/dhondta/peid) - PEiD 的 Python 实现，具有用于制作新签名的附加工具。 - [PEiD (yara)](https://github.com/K-atc/PEiD) - 使用 yara 的又一个 PEiD 实现。 - [PeLib](https://github.com/avast/pelib) - PE 文件操作库。 - [PEPack](https://github.com/mentebinaria/readpe) - PE 文件加壳检测工具，Unix 软件包“pev”的一部分。 - [PEscan](https://tzworks.com/prototype_page.php?proto_id=15) - 用于扫描 PE 文件以识别其构建方式的 CLI 工具。 - [PETools](https://github.com/petoolse/petools) - 老牌逆向工程工具（自 2002 年起具有悠久历史），用于操作 PE 文件。 - [PEview](http://wjradburn.com/software) - 提供了一种快速简便的方法来查看 32 位可移植可执行（PE）文件和组件对象文件格式（COFF）文件的结构和内容。 - [PExplorer](http://www.heaventools.com/overview.htm) - 功能最丰富的程序，用于检查自有软件的内部工作原理，更重要的是，检查没有源代码的第三方 Windows 应用程序和库。 - [Pin](https://www.intel.com/content/www/us/en/developer/articles/tool/pin-a-dynamic-binary-instrumentation-tool.html) - 用于 IA-32、x86-64 和 MIC 指令集架构的动态二进制插桩框架，能够创建动态程序分析工具。 - [PINdemonium](https://github.com/Phat3/PINdemonium) - 利用 PIN 功能的 PE 文件脱壳器。 - [PolyUnpack](https://github.com/PlatonovIvan/PolyUnpack) - 在没有任何启发式假设的情况下，提取 PE 文件隐藏原始代码的通用方法的实现尝试。 - [PortEx](https://github.com/katjahahn/PortEx) - 用于 PE 文件静态恶意软件分析的 Java 库，重点关注 PE 畸形鲁棒性和异常检测。 - [PROTECTiON iD](https://web.archive.org/web/20210331144912/https://protectionid.net) - 基于 PE 文件签名的扫描器。 - [ProTools](http://protools.narod.ru) - 程序员工具，一个致力于为真正的 WinBloze 程序员提供各种工具和实用程序的网站，包括加壳器、加密器等。 - [PyPackerDetect](https://github.com/cylance/PyPackerDetect) - 用于检测可执行文件是否已被加壳的小型 Python 脚本/库。 - [PyPackerDetect (refactored)](https://github.com/dhondta/PyPackerDetect) - 对原项目到 Python 包的完整重构，带有一个用于检测可执行文件是否已被加壳的控制台脚本。 - [PyPeid](https://github.com/FFRI/pypeid) - 使用 yara-python 的又一个 PEiD 实现。 - [Quick Unpack](https://web.archive.org/web/20220119142245/http://qunpack.ahteam.org/?p=458) - 促进脱壳过程的通用脱壳器。 - [RDG Packer Detector](https://web.archive.org/web/20220904151105/http://rdgsoft.net/) - 加壳检测工具。 - [Reko](https://github.com/uxmal/reko) - 机器代码二进制文件的免费反编译器。 - [REMINDer](https://github.com/packing-box/reminder) - 基于入口点节的熵值和 WRITE 属性的加壳检测工具。 - [REMnux](https://remnux.org) - 用于逆向工程和分析恶意软件的 Linux 工具包。 - [Renovo](https://dl.acm.org/doi/10.1145/1314389.1314399?tool) - 在 TEMU（BitBlaze 的分析组件）之上构建的检测工具，基于新生成代码的执行以及在程序启动后监控内存写入。 - [ResourceHacker](http://angusj.com/resourcehacker) - 适用于 32 位和 64 位 Windows 应用程序的资源编辑器。 - [RetDec](https://github.com/avast/retdec) - 基于 LLVM 的可重定向机器码反编译器。 - [RTD](https://www.sac.sk/download/pack/rtd_rp24.zip) - Rose Patch - TinyProt/Rosetiny 脱壳器。 - [RUPP](https://www.sac.sk/download/pack/rupp037.rar) - ROSE SWE UnPaCKER PaCKaGE（仅适用于 DOS 可执行文件）。 - [SAFE](mailto:mihai@cs.wisc.edu) - 可执行文件静态分析器（可根据要求提供）。 - [SecML Malware](https://github.com/pralab/secml_malware) - 针对机器学习 Windows 恶意软件检测器创建对抗性攻击。 - [ShowStopper](https://github.com/CheckPointSW/showstopper) - 帮助恶意软件研究人员探索和测试反调试技术或验证调试器插件或其他与标准反调试方法冲突的解决方案的工具。 - [StudPE](http://www.cgsoftlabs.ro/studpe.html) - PE 查看器和编辑器（32/64 位）。 - [SymPack](https://www.amazon.com/Norton-AntiVirus-2007-Old-Version/dp/B000IAOIXW) - 安全、便携、高效但非通用的加壳检测和脱壳库；Norton Antivirus 解决方案的一部分。 - [Titanium Platform](https://www.reversinglabs.com/products/malware-analysis-platform) - 机器学习混合云平台，可大规模收集数千种文件类型，通过机器学习二进制分析加速威胁检测，并持续监控超过 100 亿文件的索引以防范未来威胁。 - [TrID](https://mark0.net/soft-trid-e.html) - 用于从二进制签名识别文件类型的实用工具。 - [Triton](https://github.com/jonathansalwan/Triton) - 动态二进制分析库。 - [Tuts 4 You](https://tuts4you.com) - 非商业的独立社区，致力于分享有关逆向代码工程的知识和信息。 - [Unipacker](https://github.com/unipacker/unipacker) - 基于仿真的 Windows 二进制文件自动且独立于平台的脱壳器。 - [UnpacMe](https://www.unpac.me) - 自动化的恶意软件脱壳服务。 - [Unpckarc](https://web.archive.org/web/20191218043307/http://www.woodmann.com/crackz/Tools/) - 依赖多种启发式算法的加壳可执行文件检测工具。 - [UU](https://www.sac.sk/download/pack/uu215e.exe) - 通用脱壳器。 - [Uundo](https://www.sac.sk/download/pack/uundo.zip) - Universal Undo - 通用脱壳器。 - [Uunp (IDA Pro plugin)](https://www.hex-rays.com/blog/unpacking-mpressed-pe-dlls-with-the-bochs-plugin/) - IDA Pro 调试器插件模块，自动化分析和脱壳加壳的二进制文件。 - [UUP](https://www.sac.sk/download/pack/uup14.zip) - 通用 exe 文件脱壳器。 - [VMHunt](https://github.com/s3team/VMHunt) - 用于分析虚拟化二进制代码的工具集；目前仅支持 32 位追踪。 - [VMUnpacker](https://web.archive.org/web/20241106123938/https://www.leechermods.com/2010/01/vmunpacker-16-latest-version.html) - 基于虚拟机技术的脱壳器。 - [Winbindex](https://github.com/m417z/winbindex) - Windows 二进制文件索引，包括 EXE、DLL 和 SYS 等可执行文件的下载链接。 - [yarGen](https://github.com/Neo23x0/yarGen) - YARA 规则生成器 - 主要原理是从恶意软件文件中发现的字符串创建 YARA 规则，同时删除在正常软件文件中也出现的所有字符串。

## 贡献欢迎贡献！请先阅读[贡献指南](CONTRIBUTING.md)。

标签：Awesome, DAST, DOM解析, ELF文件, PE文件, 二进制分析, 云安全运维, 云资产清单, 代码混淆, 代码虚拟化, 免杀技术, 加壳脱壳, 反篡改, 反调试, 可执行文件加壳, 恶意软件分析, 暴力破解检测, 系统管理, 网络安全, 逆向工程, 隐私保护