Correia-jpv/fucking-awesome-malware-analysis

# 恶意软件分析精选资源 [](https://github.com/sindresorhus/awesome) 一个精选的恶意软件分析工具和资源列表。灵感来源于 285156⭐  27267🍴 [awesome-python](https://github.com/vinta/awesome-python)) 和  32398⭐   5143🍴 [awesome-php](https://github.com/ziadoz/awesome-php))。 [](https://twitter.com/githubbers/status/1182017616740663296) - [恶意软件收集](#malware-collection) - [匿名工具](#anonymizers) - [蜜罐](#honeypots) - [恶意软件语料库](#malware-corpora) - [开源威胁情报](#open-source-threat-intelligence) - [工具](#tools) - [其他资源](#other-resources) - [检测与分类](#detection-and-classification) - [在线扫描器和沙箱](#online-scanners-and-sandboxes) - [域名分析](#domain-analysis) - [浏览器恶意软件](#browser-malware) - [文档和 Shellcode](#documents-and-shellcode) - [文件雕复](#file-carving) - [去混淆](#deobfuscation) - [调试与逆向工程](#debugging-and-reverse-engineering) - [网络](#network) - [内存取证](#memory-forensics) - [Windows 痕迹](#windows-artifacts) - [存储与工作流](#storage-and-workflow) - [杂项](#miscellaneous) - [资源](#resources) - [书籍](#books) - [其他](#other) - [相关 Awesome 列表](#related-awesome-lists) - [贡献](#contributing) - [致谢](#thanks) 查看中文翻译：[恶意软件分析大合集.md](恶意软件分析大合集.md)。 ## 恶意软件收集 ### 匿名工具 *供分析人员使用的 Web 流量匿名工具。* * [Anonymouse.org](http://anonymouse.org/) - 一个免费的基于 Web 的匿名器。 * 🌎 [OpenVPN](openvpn.net/) - VPN 软件和托管解决方案。 * [Privoxy](http://www.privoxy.org/) - 具有一些隐私功能的 开源代理服务器。 * 🌎 [Tor](www.torproject.org/) - 洋葱路由器，用于浏览网页 而不留下客户端 IP 的痕迹。 ### 蜜罐 *捕获并收集您自己的样本。* *   1433⭐    436🍴 [Conpot](https://github.com/mushorg/conpot)) - ICS/SCADA 蜜罐。 *   6204⭐   1011🍴 [Cowrie](https://github.com/micheloosterhof/cowrie)) - SSH 蜜罐，基于 Kippo。 *     63⭐     12🍴 [DemoHunter](https://github.com/RevengeComing/DemonHunter)) - 低交互式分布式蜜罐。 *    789⭐    191🍴 [Dionaea](https://github.com/DinoTools/dionaea)) - 旨在捕获恶意软件的蜜罐。 *    596⭐    168🍴 [Glastopf](https://github.com/mushorg/glastopf)) - Web 应用程序蜜罐。 * [Honeyd](http://www.honeyd.org/) - 创建一个虚拟蜜网。 * 🌎 [HoneyDrive](bruteforce.gr/honeydrive/) - 蜜罐捆绑包 Linux 发行版。 *   1296⭐    178🍴 [Honeytrap](https://github.com/honeytrap/honeytrap)) - 用于运行、监控和管理蜜罐的开源系统。 *   2470⭐    626🍴 [MHN](https://github.com/pwnlandia/mhn)) - MHN 是一个用于管理和收集蜜罐数据的中央服务器。MHN 允许您快速部署传感器并立即收集数据，可通过整洁的 Web 界面查看。 *     46⭐     39🍴 [Mnemosyne](https://github.com/johnnykv/mnemosyne)) - 蜜罐数据的规范化器；支持 Dionaea。 *   1021⭐    203🍴 [Thug](https://github.com/buffer/thug)) - 低交互式 Honeyclient，用于 调查恶意网站。 ### 恶意软件语料库 *收集用于分析的恶意软件样本。* * [Clean MX](http://support.clean-mx.com/clean-mx/viruses.php) - 恶意软件和恶意域名的 实时数据库。 * [Contagio](http://contagiodump.blogspot.com/) - 最近恶意软件样本和 分析的集合。 * 🌎 [Exploit Database](www.exploit-db.com/) - 漏洞利用和 Shellcode 样本。 * 🌎 [Infosec - CERT-PA](infosec.cert-pa.it/analyze/submission.html) - 恶意软件样本收集与分析。 * 🌎 [InQuest Labs](labs.inquest.net) - 不断增长的可搜索恶意 Microsoft 文档语料库。 *    741⭐    242🍴 [Javascript Mallware Collection](https://github.com/HynekPetrak/javascript-malware-collection)) - 几乎包含 40,000 个 JavaScript 恶意软件样本的集合 * 🌎 [Malpedia](malpedia.caad.fkie.fraunhofer.de/) - 为恶意软件调查提供 快速识别和可操作上下文的资源。 * 🌎 [Malshare](malshare.com) - 从恶意站点主动 抓取的大型恶意软件存储库。 *     94⭐     25🍴 [Ragpicker](https://github.com/robbyFux/Ragpicker)) - 基于插件的恶意软件 爬虫，具有预分析和报告功能 *  12748⭐   2698🍴 [theZoo](https://github.com/ytisf/theZoo)) - 供 分析人员使用的活体恶意软件样本。 * [Tracker h3x](http://tracker.h3x.eu/) - 恶意软件语料库跟踪器 和恶意下载站点的聚合器。 *      ?⭐      ?🍴 [vduddu malware repo](https://github.com/vduddu/Malware)) - 各种 恶意软件文件和源代码的集合。 * 🌎 [VirusBay](beta.virusbay.io/) - 基于社区的恶意软件存储库和社交网络。 * [ViruSign](http://www.virussign.com/) - 被 除 ClamAV 之外许多反恶意软件程序检测到的恶意软件数据库。 * 🌎 [VirusShare](virusshare.com/) - 恶意软件存储库，需要 注册。 * [VX Vault](http://vxvault.net) - 恶意软件样本的主动收集。 * 🌎 [Zeltser's Sources](zeltser.com/malware-sample-sources/) - Lenny Zeltser 整理的 恶意软件样本来源列表。 *   1541⭐    698🍴 [Zeus Source Code](https://github.com/Visgean/Zeus)) - 2011 年泄露的 Zeus 木马源代码。 * [VX Underground](http://vx-underground.org/) - 海量且不断增长的免费恶意软件样本集合。 ## 开源威胁情报 ### 工具 *收集和分析 IOC。* *    125⭐     20🍴 [AbuseHelper](https://github.com/abusesa/abusehelper)) - 一个开源 框架，用于接收和重新分发滥用订阅源和威胁情报。 * 🌎 [AlienVault Open Threat Exchange](otx.alienvault.com/) - 共享和 协作开发威胁情报。 *    658⭐    173🍴 [Combine](https://github.com/mlsecproject/combine)) - 从公开可用来源收集 威胁情报指标的工具。 *    123⭐     24🍴 [Fileintel](https://github.com/keithjjones/fileintel)) - 根据文件哈希提取情报。 *    274⭐     53🍴 [Hostintel](https://github.com/keithjjones/hostintel)) - 根据主机提取情报。 * 🌎 [IntelMQ](www.enisa.europa.eu/topics/csirt-cert-services/community-projects/incident-handling-automation) - CERT 用于使用消息队列处理事件数据的工具。 * 🌎 [IOC Editor](www.fireeye.com/services/freeware/ioc-editor.html) - XML IOC 文件的免费编辑器。 *    568⭐     93🍴 [iocextract](https://github.com/InQuest/python-iocextract)) - 高级入侵威胁指标 (IOC) 提取器，Python 库和命令行工具。 *    207⭐     61🍴 [ioc_writer](https://github.com/mandiant/ioc_writer)) - 用于 处理 OpenIOC 对象的 Python 库，来自 Mandiant。 *    109⭐     22🍴 [MalPipe](https://github.com/silascutler/MalPipe)) - 恶意软件/IOC 获取和 处理引擎，用于丰富收集的数据。 *    229⭐     60🍴 [Massive Octo Spice](https://github.com/csirtgadgets/massive-octo-spice)) - 以前称为 CIF（集体智能框架）。聚合来自各种列表的 IOC。由 [CSIRT Gadgets Foundation](http://csirtgadgets.org/collective-intelligence-framework) 管理。 *   6149⭐   1558🍴 [MISP](https://github.com/MISP/MISP)) - 由 [The MISP Project](http://www.misp-project.org/) 管理的 恶意软件信息共享平台。 * 🌎 [Pulsedive](pulsedive.com) - 免费的社区驱动型威胁情报平台，从开源订阅源收集 IOC。 *     18⭐      5🍴 [PyIOCe](https://github.com/pidydx/PyIOCe)) - Python OpenIOC 编辑器。 * 🌎 [RiskIQ](community.riskiq.com/) - 研究、连接、标记和 共享 IP 和域名。（前身是 PassiveTotal。） *      ?⭐      ?🍴 [threataggregator](https://github.com/jpsenior/threataggregator)) - 聚合来自多个来源的安全威胁，包括 下方 [其他资源](#other-resources) 中列出的一些来源。 * 🌎 [ThreatConnect](threatconnect.com/free/) - TC Open 允许您查看和 共享开源威胁数据，并获得我们免费社区的支持和验证。 * 🌎 [ThreatCrowd](www.threatcrowd.org/) - 威胁搜索引擎， 具有图形可视化功能。 *      ?⭐      ?🍴 [ThreatIngestor](https://github.com/InQuest/ThreatIngestor/)) - 构建 自动化的威胁情报流水线，包括 Twitter、RSS、GitHub 和 更多。 *     70⭐     12🍴 [ThreatTracker](https://github.com/michael-yip/ThreatTracker)) - 一个 Python 脚本，用于根据一组 Google 自定义搜索引擎索引的 IOC 进行监控和 生成警报。 *    177⭐     44🍴 [TIQ-test](https://github.com/mlsecproject/tiq-test)) - 威胁情报订阅源的 数据可视化和统计分析。 ### 其他资源 *威胁情报和 IOC 资源。* * 🌎 [Autoshun](www.autoshun.org/) 🌎 [list](www.autoshun.org/files/shunlist.csv)) - Snort 插件和阻止列表。 * [Bambenek Consulting Feeds](http://osint.bambenekconsulting.com/feeds/) - 基于恶意 DGA 算法的 OSINT 订阅源。 * 🌎 [Fidelis Barncat](www.fidelissecurity.com/resources/fidelis-barncat) - 广泛的恶意软件配置数据库（必须请求访问权限）。 * [CI Army](http://cinsscore.com/) ([list](http://cinsscore.com/list/ci-badguys.txt)) - 网络安全阻止列表。 * 🌎 [Critical Stack- Free Intel Market](intel.criticalstack.com) - 免费 情报聚合器，具有去重功能，拥有 90 多个订阅源和超过 120 万个指标。 * [Cybercrime tracker](http://cybercrime-tracker.net/) - 多个僵尸网络活动跟踪器。 *    473⭐    119🍴 [FireEye IOCs](https://github.com/fireeye/iocs)) - FireEye 公开共享的 入侵威胁指标。 * 🌎 [FireHOL IP Lists](iplists.firehol.org/) - 350 多个 IP 列表的分析 重点关注攻击、恶意软件和滥用。演变、变更历史、 国家/地区地图、所列 IP 的年龄、保留策略、重叠情况。 * 🌎 [HoneyDB](riskdiscovery.com/honeydb) - 社区驱动的蜜罐传感器数据收集和聚合。 *    218⭐    105🍴 [hpfeeds](https://github.com/rep/hpfeeds)) - 蜜罐订阅源协议。 * 🌎 [Infosec - CERT-PA lists](infosec.cert-pa.it/analyze/statistics.html) 🌎 [IPs](infosec.cert-pa.it/analyze/listip.txt) - 🌎 [Domains](infosec.cert-pa.it/analyze/listdomains.txt) - 🌎 [URLs](infosec.cert-pa.it/analyze/listurls.txt)) - 阻止列表服务。 * 🌎 [InQuest REPdb](labs.inquest.net/repdb) - 持续聚合来自各种开放信誉来源的 IOC。 * 🌎 [InQuest IOCdb](labs.inquest.net/iocdb) - 持续聚合来自各种博客、Github 存储库和 Twitter 的 IOC。 * 🌎 [Internet Storm Center (DShield)](isc.sans.edu/) - 日记和 可搜索的事件数据库，带有 Web 🌎 [API](dshield.org/api/)。 (    28⭐     12🍴 [unofficial Python library](https://github.com/rshipp/python-dshield))). * [malc0de](http://malc0de.com/database/) - 可搜索的事件数据库。 * [Malware Domain List](http://www.malwaredomainlist.com/) - 搜索和共享 恶意 URL。 * 🌎 [MetaDefender Threat Intelligence Feed](www.opswat.com/developers/threat-intelligence-feed) - MetaDefender Cloud 中查询次数最多的文件哈希列表。 * 🌎 [OpenIOC](www.fireeye.com/services/freeware.html) - 共享威胁情报的框架。 * 🌎 [Proofpoint Threat Intelligence](www.proofpoint.com/us/products/et-intelligence) - 规则集等。（前身为 Emerging Threats。） * 🌎 [Ransomware overview](docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml) - 包含详细信息、检测和预防的勒索软件概述列表。 * [STIX - Structured Threat Information eXpression](http://stixproject.github.io) - 用于表示和共享网络威胁信息的标准化语言。 来自 🌎 [MITRE](www.mitre.org/) 的相关工作： - [CAPEC - Common Attack Pattern Enumeration and Classification](http://capec.mitre.org/) - [CybOX - Cyber Observables eXpression](http://cyboxproject.github.io) - [MAEC - Malware Attribute Enumeration and Characterization](http://maec.mitre.org/) - [TAXII - Trusted Automated eXchange of Indicator Information](http://taxiiproject.github.io) * 🌎 [SystemLookup](www.systemlookup.com/) - SystemLookup 托管了一系列列表，提供关于 合法和潜在不需要程序组件的信息。 * 🌎 [ThreatMiner](www.threatminer.org/) - 用于威胁情报的数据挖掘门户， 具备搜索功能。 * 🌎 [threatRECON](threatrecon.co/) - 搜索指标，每月最多免费 1000 次。 * 🌎 [ThreatShare](threatshare.io/) - C2 面板跟踪器 *   4723⭐   1057🍴 [Yara rules](https://github.com/Yara-Rules/rules)) - Yara 规则存储库。 *   1953⭐    312🍴 [YETI](https://github.com/yeti-platform/yeti)) - Yeti 是一个旨在将可观察对象、入侵威胁指标、TTP 和威胁知识组织在单一、统一存储库中的平台。 * 🌎 [ZeuS Tracker](zeustracker.abuse.ch/blocklist.php) - ZeuS 阻止列表。 ## 检测与分类 *杀毒软件和其他恶意软件识别工具* *    208⭐     36🍴 [AnalyzePE](https://github.com/hiddenillusion/AnalyzePE)) - 各种工具的封装， 用于报告 Windows PE 文件。 * 🌎 [Assemblyline](cybercentrecanada.github.io/assemblyline4_docs/) - 一个可扩展的文件分类和恶意软件分析系统，集成了网络安全社区的最佳工具.. *   1443⭐    183🍴 [BinaryAlert](https://github.com/airbnb/binaryalert)) - 一个开源、无服务器 AWS 流水线，根据一组 YARA 规则扫描上传的文件并发出警报。 *   5850⭐    661🍴 [capa](https://github.com/fireeye/capa)) - 检测可执行文件中的能力。 * [chkrootkit](http://www.chkrootkit.org/) - 本地 Linux rootkit 检测。 * [ClamAV](http://www.clamav.net/) - 开源杀毒引擎。 *  10346⭐    885🍴 [Detect It Easy(DiE)](https://github.com/horsicq/Detect-It-Easy)) - 用于 确定文件类型的程序。 * [Exeinfo PE](http://exeinfo.pe.hu/) - 加壳器、压缩检测器，解包 信息，内部 exe 工具。 * 🌎 [ExifTool](sno.phy.queensu.ca/~phil/exiftool/) - 读取、写入和 编辑文件元数据。 *    294⭐     46🍴 [File Scanning Framework](https://github.com/EmersonElectricCo/fsf)) - 模块化、递归的文件扫描解决方案。 *   1675⭐    208🍴 [fn2yara](https://github.com/cmu-sei/pharos)) - FN2Yara 是一个工具，用于生成 Yara 签名以匹配可执行程序中的函数（代码）。 *      2⭐      1🍴 [Generic File Parser](https://github.com/uppusaikiran/generic-parser)) - 一个单一库解析器，用于提取元信息、静态分析并检测文件中的宏。 *    762⭐    132🍴 [hashdeep](https://github.com/jessek/hashdeep)) - 使用 多种算法计算摘要哈希。 *   1992⭐    219🍴 [HashCheck](https://github.com/gurnec/HashCheck)) - Windows shell 扩展， 用于使用多种算法计算哈希。 *   3729⭐    625🍴 [Loki](https://github.com/Neo23x0/Loki)) - 基于 Host 的 IOC 扫描器。 *    191⭐     32🍴 [Malfunction](https://github.com/Dynetics/Malfunction)) - 在函数级别对恶意软件进行 编目和比较。 *   1107⭐    165🍴 [Manalyze](https://github.com/JusticeRage/Manalyze)) - PE 可执行文件的 静态分析器。 *    185⭐     42🍴 [MASTIFF](https://github.com/KoreLogicSecurity/mastiff)) - 静态分析 框架。 *    622⭐    127🍴 [MultiScanner](https://github.com/mitre/multiscanner)) - 模块化文件 扫描/分析框架 *    568⭐     83🍴 [Nauz File Detector(NFD)](https://github.com/horsicq/Nauz-File-Detector)) - 适用于 Windows、Linux 和 MacOS 的链接器/编译器/工具检测器。 *    114⭐     12🍴 [nsrllookup](https://github.com/rjhansen/nsrllookup)) - 用于在 NIST 国家软件参考图书馆 数据库中查找哈希的工具。 *     47⭐     12🍴 [packerid](https://github.com/sooshie/packerid)) - PEiD 的跨平台 Python 替代品。 * 🌎 [PE-bear](hshrzd.wordpress.com/pe-bear/) - PE 文件的逆向 工具。 *    619⭐    140🍴 [PEframe](https://github.com/guelfoweb/peframe)) - PEframe 是一个开源工具，用于对便携式可执行恶意软件和恶意 MS Office 文档执行静态分析。 * [PEV](http://pev.sourceforge.net/) - 一个用于处理 PE 文件的多平台工具包， 提供功能丰富的工具以正确分析可疑二进制文件。 *    527⭐     89🍴 [PortEx](https://github.com/katjahahn/PortEx)) - Java 库，用于分析 PE 文件， 特别关注恶意软件分析和 PE 畸形的鲁棒性。 *   1646⭐    200🍴 [Quark-Engine](https://github.com/quark-engine/quark-engine)) - 一个忽略混淆的 Android 恶意软件评分系统 * [Rootkit Hunter](http://rkhunter.sourceforge.net/) - 检测 Linux rootkit。 * 🌎 [ssdeep](ssdeep-project.github.io/ssdeep/) - 计算模糊哈希。 * 🌎 [totalhash.py](gist.github.com/gleblanc1783/3c8e6b379fa9d646d401b96ab5c7877f) - Python 脚本，用于轻松搜索 🌎 [TotalHash.cymru.com](totalhash.cymru.com/) 数据库。 * [TrID](http://mark0.net/soft-trid-e.html) - 文件标识符。 * 🌎 [YARA](plusvic.github.io/yara/) - 分析人员的模式匹配 工具。 *   1777⭐    306🍴 [Yara rules generator]()) - 基于 一组恶意软件样本生成 Yara 规则。还包含一个良好的 字符串数据库以避免误报。 *      2⭐      1🍴 [Yara Finder](https://github.com/uppusaikiran/yara-finder)) - 一个简单的工具，用于将文件与各种 Yara 规则匹配以发现可疑指标。 ## 在线扫描器和沙箱 *基于 Web 的多杀毒扫描器和用于自动分析的恶意软件沙箱。* * 🌎 [anlyz.io](sandbox.anlyz.io/) - 在线沙箱。 * 🌎 [any.run](app.any.run/) - 在线交互式沙箱。 * 🌎 [AndroTotal](andrototal.org/) - 针对多个移动杀毒应用 的免费在线 APK 分析。 *    240⭐     38🍴 [BoomBox](https://github.com/nbeede/BoomBox)) - 使用 Packer 和 Vagrant 自动部署 Cuckoo Sandbox 恶意软件实验室。 * [Cryptam](http://www.cryptam.com/) - 分析可疑的 Office 文档。 * 🌎 [Cuckoo Sandbox](cuckoosandbox.org/) - 开源、自托管 沙箱和自动分析系统。 *    272⭐    100🍴 [cuckoo-modified](https://github.com/brad-accuvant/cuckoo-modified)) - 根据 GPL 发布的 Cuckoo Sandbox 修改版本。由于作者的法律顾虑，未在上游合并。 *     23⭐      8🍴 [cuckoo-modified-api](https://github.com/keithjjones/cuckoo-modified-api)) - 用于 控制 cuckoo-modified 沙箱的 Python API。 * 🌎 [DeepViz](www.deepviz.com/) - 多格式文件分析器， 具有机器学习分类功能。 *      ?⭐      ?🍴 [detux](https://github.com/detuxsandbox/detux/)) - 一个沙箱，旨在对 Linux 恶意软件进行流量分析并捕获 IOC。 *   1209⭐    265🍴 [DRAKVUF](https://github.com/tklengyel/drakvuf)) - 动态恶意软件分析 系统。 * 🌎 [filescan.io](www.filescan.io/) - 静态恶意软件分析，VBA/Powershell/VBS/JS 模拟 * [firmware.re](http://firmware.re/) - 解包、扫描和分析几乎任何 固件包。 *    747⭐    222🍴 [HaboMalHunter](https://github.com/Tencent/HaboMalHunter)) - Linux ELF 文件的 自动化恶意软件分析工具。 * 🌎 [Hybrid Analysis](www.hybrid-analysis.com/) - 在线恶意软件 分析工具，由 VxSandbox 提供支持。 * 🌎 [Intezer](analyze.intezer.com) - 通过 识别代码重用和代码相似性来检测、分析和分类恶意软件。 * [IRMA](http://irma.quarkslab.com/) - 用于可疑文件的异步和可定制 分析平台。 * 🌎 [Joe Sandbox](www.joesecurity.org) - 使用 Joe Sandbox 进行深度恶意软件分析。 * 🌎 [Jotti](virusscan.jotti.org/en) - 免费的在线多杀毒扫描器。 *    398⭐    117🍴 [Limon](https://github.com/monnappa22/Limon)) - 用于分析 Linux 恶意软件的沙箱。 *    373⭐    102🍴 [Malheur](https://github.com/rieck/malheur)) - 恶意软件行为的 自动沙箱分析。 *   1855⭐    287🍴 [malice.io](https://github.com/maliceio/malice)) - 大规模可扩展的恶意软件分析框架。 *    368⭐     79🍴 [malsub](https://github.com/diogo-fernan/malsub)) - 用于 在线恶意软件和 URL 分析服务的 Python RESTful API 框架。 * 🌎 [Malware config](malwareconfig.com/) - 在线提取、解码和显示 常见恶意软件的配置设置。 * 🌎 [MalwareAnalyser.io](malwareanalyser.io/) - 在线恶意软件基于异常的静态分析器，具有由数据挖掘和机器学习驱动的启发式检测引擎。 * 🌎 [Malwr](malwr.com/) - 使用在线 Cuckoo Sandbox 实例 进行免费分析。 * 🌎 [MetaDefender Cloud](metadefender.opswat.com/ ) - 扫描文件、哈希、IP、URL 或 域名地址以检查恶意软件，免费。 * 🌎 [NetworkTotal](www.networktotal.com/index.html) - 一项分析 pcap 文件并促进快速检测病毒、蠕虫、木马和所有 类型恶意软件的服务，使用配置了 EmergingThreats Pro 的 Suricata。 *   1233⭐    228🍴 [Noriben](https://github.com/Rurik/Noriben)) - 使用 Sysinternals Procmon 在 沙箱环境中收集有关恶意软件的信息。 * 🌎 [PacketTotal](packettotal.com/) - PacketTotal 是一个用于分析 .pcap 文件并可视化其中网络流量的在线引擎。 * [PDF Examiner](http://www.pdfexaminer.com/) - 分析可疑的 PDF 文件。 * [ProcDot](http://www.procdot.com) - 图形化恶意软件分析工具包。 *    132⭐     39🍴 [Recomposer](https://github.com/secretsquirrel/recomposer)) - 一个辅助 脚本，用于安全地将二进制文件上传到沙箱站点。 *    142⭐     40🍴 [sandboxapi](https://github.com/InQuest/python-sandboxapi)) - Python 库，用于 构建与多个开源和商业恶意软件沙箱的集成。 *    820⭐     95🍴 [SEE](https://github.com/F-Secure/see)) - 沙箱执行环境 (SEE) 是一个用于在安全环境中构建测试自动化的框架。 * 🌎 [SEKOIA Dropper Analysis](malware.sekoia.fr/) - 在线投放器分析（Js、VBScript、Microsoft Office、PDF）。 * 🌎 [VirusTotal](www.virustotal.com/) - 免费的恶意软件样本 和 URL 在线分析 *    144⭐     31🍴 [Visualize_Logs](https://github.com/keithjjones/visualize_logs)) - 开源 日志可视化库和命令行工具。（Cuckoo、Procmon，更多 即将推出...） * 🌎 [Zeltser's List](zeltser.com/automated-malware-analysis/) - 免费 的自动沙箱和服务，由 Lenny Zeltser 编制。 ## 域名分析 *检查域名和 IP 地址。* * 🌎 [AbuseIPDB](www.abuseipdb.com/) - AbuseIPDB 是一个致力于 帮助打击黑客、垃圾邮件发送者和互联网滥用行为的项目。 * 🌎 [badips.com](www.badips.com/) - 基于社区的 IP 黑名单服务。 *     39⭐      6🍴 [boomerang](https://github.com/EmersonElectricCo/boomerang)) - 一种工具，设计用于 一致且安全地捕获网络外的 Web 资源。 * 🌎 [Cymon](cymon.io/) - 威胁情报跟踪器，具有 IP/域名/哈希 搜索功能。 * [Desenmascara.me](http://desenmascara.me) - 一键工具，用于检索 尽可能多的网站元数据并评估其良好状态。 * 🌎 [Dig](networking.ringofsaturn.com/) - 免费的在线 dig 和其他 网络工具。 *   5606⭐    843🍴 [dnstwist](https://github.com/elceef/dnstwist)) - 域名排列 引擎，用于检测域名抢注、网络钓鱼和企业间谍活动。 *    100⭐     25🍴 [IPinfo](https://github.com/hiddenillusion/IPinfo)) - 通过 搜索在线资源收集有关 IP 或域名的信息。 *    539⭐    103🍴 [Machinae](https://github.com/hurricanelabs/machinae)) - OSINT 工具，用于 收集有关 URL、IP 或哈希的信息。类似于 Automator。 *   1861⭐    292🍴 [mailchecker](https://github.com/FGRibreau/mailchecker)) - 跨语言 临时电子邮件检测库。 *     82⭐     20🍴 [MaltegoVT](https://github.com/michael-yip/MaltegoVT)) - VirusTotal API 的 Maltego 转换。允许域名/IP 研究，以及搜索文件 哈希和扫描报告。 * [Multi rbl](http://multirbl.valli.org/) - 多个 DNS 黑名单和 超过 300 个 RBL 的正向确认反向 DNS 查找。 * 🌎 [NormShield Services](services.normshield.com/) - 免费 API 服务， 用于检测可能的网络钓鱼域名、黑名单 IP 地址和受损 帐户。 * 🌎 [PhishStats](phishstats.info/) - 网络钓鱼统计数据，可搜索 IP、域名和网站标题 * 🌎 [Spyse](spyse.com/) - 子域名、whois、相关域名、DNS、主机 AS、SSL/TLS 信息， * 🌎 [SecurityTrails](securitytrails.com/) - 历史和当前 WHOIS、 历史和当前 DNS 记录、相似域名、证书信息 以及其他域名和 IP 相关的 API 和工具。 * 🌎 [SpamCop](www.spamcop.net/bl.shtml) - 基于 IP 的垃圾邮件阻止列表。 * 🌎 [SpamHaus](www.spamhaus.org/lookup/) - 基于域名 和 IP 的阻止列表。 * 🌎 [Sucuri SiteCheck](sitecheck.sucuri.net/) - 免费的网站恶意软件 和安全扫描器。 * 🌎 [Talos Intelligence](talosintelligence.com/) - 搜索 IP、域名 或网络所有者。（以前称为 SenderBase。） * [TekDefense Automater](http://www.tekdefense.com/automater/) - OSINT 工具， 用于收集有关 URL、IP 或哈希的信息。 * 🌎 [URLhaus](urlhaus.abuse.ch/) - abuse.ch 的一个项目，旨在 共享用于恶意软件分发的恶意 URL。 * [URLQuery](http://urlquery.net/) - 免费 URL 扫描器。 * 🌎 [urlscan.io](urlscan.io/) - 免费 URL 扫描器和域名信息。 * 🌎 [Whois](whois.domaintools.com/) - DomainTools 免费的在线 whois 搜索。 * 🌎 [Zeltser's List](zeltser.com/lookup-malicious-websites/) - 用于 研究恶意网站的自由在线工具，由 Lenny Zeltser 编制。 * 🌎 [ZScalar Zulu](zulu.zscaler.com/#) - Zulu URL 风险分析器。 ## 浏览器恶意软件 *分析恶意 URL。另请参阅 [域名分析](#domain-analysis) 和 [文档和 Shellcode](#documents-and-shellcode) 部分。* *  154⭐   1220🍴 [Bytecode Viewer](https://github.com/Konloch/bytecode-viewer)) - 将 多个 Java 字节码查看器和反编译器组合到一个工具中，包括 APK/DEX 支持。 * 🌎 [Firebug](getfirebug.com/) - 用于 Web 开发的 Firefox 扩展。 * [Java Decompiler](http://jd.benow.ca/) - 反编译和检查 Java 应用程序。 *      ?⭐      ?🍴 [Java IDX Parser](https://github.com/Rurik/Java_IDX_Parser/)) - 解析 Java IDX 缓存文件。 * [JSDetox](http://www.relentless-coding.com/projects/jsdetox/) - JavaScript 恶意软件分析工具。 *    168⭐     66🍴 [jsunpack-n](https://github.com/urule99/jsunpack-n)) - 一个模拟 浏览器功能的 JavaScript 解包器。 *   2180⭐    235🍴 [Krakatau](https://github.com/Storyyeller/Krakatau)) - Java 反编译器、 汇编器和反汇编器。 * [Malzilla](http://malzilla.sourceforge.net/) - 分析恶意网页。 *    446⭐     95🍴 [RABCDAsm](https://github.com/CyberShadow/RABCDAsm)) - 一个“健壮的 ActionScript 字节码反汇编器”。 * 🌎 [SWF Investigator](labs.adobe.com/technologies/swfinvestigator/) - SWF 应用程序的静态和动态分析。 * [swftools](http://www.swftools.org/) - 用于处理 Adobe Flash 文件的工具。 * [xxxswf](http://hooked-on-mnemonics.blogspot.com/2011/12/xxxswfpy.html) - 一个 用于分析 Flash 文件的 Python 脚本。 ## 文档和 Shellcode *分析来自 PDF 和 Office 文档的恶意 JS 和 Shellcode。另请 参阅 [浏览器恶意软件](#browser-malware) 部分。* *    192⭐     44🍴 [AnalyzePDF](https://github.com/hiddenillusion/AnalyzePDF)) - 用于 分析 PDF 并尝试确定它们是否为恶意的工具。 *    666⭐     89🍴 [box-js](https://github.com/CapacitorSet/box-js)) - 用于研究 JavaScript 恶意软件的工具，具有 JScript/WScript 支持和 ActiveX 模拟功能。 * [diStorm](http://www.ragestorm.net/distorm/) - 用于分析 恶意 Shellcode 的反汇编器。 * 🌎 [InQuest Deep File Inspection](labs.inquest.net/dfi) - 上传常见的恶意软件诱饵进行深度文件检查和启发式分析。 * [JS Beautifier](http://jsbeautifier.org/) - JavaScript 解包和去混淆。 * [libemu](http://libemu.carnivore.it/) - 用于 x86 Shellcode 模拟的库和工具。 *     53⭐     14🍴 [malpdfobj](https://github.com/9b/malpdfobj)) - 将恶意 PDF 解构 为 JSON 表示。 * [OfficeMalScanner](http://www.reconstructer.org/code.html) - 扫描 MS Office 文档 中的恶意痕迹。 * [olevba](http://www.decalage.info/python/olevba) - 用于解析 OLE 和 OpenXML 文档并提取有用信息的脚本。 * 🌎 [Origami PDF](code.google.com/archive/p/origami-pdf) - 用于 分析恶意 PDF 等的工具。 * 🌎 [PDF Tools](blog.didierstevens.com/programs/pdf-tools/) - pdfid、 pdf-parser 以及来自 Didier Stevens 的更多工具。 *     38⭐      8🍴 [PDF X-Ray Lite](https://github.com/9b/pdfxray_lite)) - PDF 分析工具， PDF X-RAY 的无后端版本。 * [peepdf](http://eternal-todo.com/tools/peepdf-pdf-analysis-tool) - 用于 探索可能恶意的 PDF 的 Python 工具。 * 🌎 [QuickSand](www.quicksand.io/) - QuickSand 是一个紧凑的 C 框架， 用于分析可疑的恶意软件文档，以识别不同编码流中的漏洞利用， 并定位和提取嵌入式可执行文件。 * 🌎 [Spidermonkey](developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey) - Mozilla 的 JavaScript 引擎，用于调试恶意 JS。 ## 文件雕复 *用于从磁盘和内存镜像中提取文件。* *   1336⭐    215🍴 [bulk_extractor](https://github.com/simsong/bulk_extractor)) - 快速文件 雕复工具。 *    208⭐     24🍴 [EVTXtract](https://github.com/williballenthin/EVTXtract)) - 从原始 二进制数据中雕复 Windows 事件日志文件。 * [Foremost](http://foremost.sourceforge.net/) - 美国空军设计的 文件雕复工具。 *    654⭐     72🍴 [hachoir3](https://github.com/vstinner/hachoir3)) - Hachoir 是一个 Python 库， 用于逐字段查看和编辑二进制流。 *    673⭐    108🍴 [Scalpel](https://github.com/sleuthkit/scalpel)) - 另一种数据雕复 工具。 *     85⭐     56🍴 [SFlock](https://github.com/jbremer/sflock)) - 嵌套存档 提取/解包（在 Cuckoo Sandbox 中使用）。 ## 去混淆 *逆向 XOR 和其他代码混淆方法。* * 🌎 [Balbuzard](bitbucket.org/decalage/balbuzard/wiki/Home) - 用于 逆向混淆（XOR、ROL 等）等的恶意软件分析工具。 *   7355⭐   2794🍴 [de4dot](https://github.com/0xd4d/de4dot)) - .NET 去混淆器 和解包器。 * [ex_pe_xor](http://hooked-on-mnemonics.blogspot.com/2014/04/expexorpy.html) & [iheartxor](http://hooked-on-mnemonics.blogspot.com/p/iheartxor.html) - 来自 Alexander Hanel 的两个工具，用于处理单字节 XOR 编码 文件。 *   3902⭐    522🍴 [FLOSS](https://github.com/fireeye/flare-floss)) - FireEye Labs 混淆 字符串求解器使用高级静态分析技术自动 去混淆恶意软件二进制文件中的字符串。 *     88⭐     18🍴 [NoMoreXOR](https://github.com/hiddenillusion/NoMoreXOR)) - 使用 频率分析猜测 256 字节的 XOR 密钥。 *    275⭐     71🍴 [PackerAttacker](https://github.com/BromiumLabs/PackerAttacker)) - Windows 恶意软件的 通用隐藏代码提取器。 *   4140⭐    739🍴 [PyInstaller Extractor](https://github.com/extremecoders-re/pyinstxtractor)) - 一个 Python 脚本，用于提取 PyInstaller 生成的 Windows 可执行文件的内容。可执行文件中存在的 pyz 文件（通常是 pyc 文件）的内容 也会被提取并自动修复，以便 Python 字节码反编译器能够识别它。 *      ?⭐      ?🍴 [uncompyle6](https://github.com/rocky/python-uncompyle6/)) - 跨版本 Python 字节码反编译器。将 Python 字节码转换回等效的 Python 源代码。 *    743⭐     93🍴 [un{i}packer](https://github.com/unipacker/unipacker)) - 基于 模拟的 Windows 二进制文件的自动且独立于平台的解包器。 *      ?⭐      ?🍴 [unpacker](https://github.com/malwaremusings/unpacker/)) - 基于 WinAppDbg 的 Windows 恶意软件自动解包器。 *      ?⭐      ?🍴 [unxor](https://github.com/tomchop/unxor/)) - 使用 已知明文攻击猜测 XOR 密钥。 *    147⭐     24🍴 [VirtualDeobfuscator](https://github.com/jnraber/VirtualDeobfuscator)) - 虚拟化包装器的逆向工程工具。 * [XORBruteForcer](http://eternal-todo.com/var/scripts/xorbruteforcer) - 用于暴力破解单字节 XOR 密钥的 Python 脚本。 * 🌎 [XORSearch & XORStrings](blog.didierstevens.com/programs/xorsearch/) - Didier Stevens 的几个程序，用于查找 XOR 数据。 *   1476⭐    182🍴 [xortool](https://github.com/hellman/xortool)) - 猜测 XOR 密钥长度， 以及密钥本身。 ## 调试与逆向工程 *反汇编器、调试器以及其他静态和动态分析工具。* *   8519⭐   1156🍴 [angr](https://github.com/angr/angr)) - UCSB Seclab 开发的 平台无关二进制分析框架。 *      ?⭐      ?🍴 [bamfdetect](https://github.com/bwall/bamfdetect)) - 识别并从 僵尸程序和其他恶意软件中提取信息。 *   2214⭐    282🍴 [BAP](https://github.com/BinaryAnalysisPlatform/bap)) - CMU Cylab 开发的 多平台开源 (MIT) 二进制分析框架。 *   1445⭐    172🍴 [BARF](https://github.com/programa-stic/barf-project)) - 多平台、开源 二进制分析和逆向工程框架。 *   2896⭐    457🍴 [binnavi](https://github.com/google/binnavi)) - 基于 图形可视化的逆向工程二进制分析 IDE。 * 🌎 [Binary ninja](binary.ninja/) - IDA 的替代品， 一个逆向工程平台。 *  13624⭐   1770🍴 [Binwalk](https://github.com/devttys0/binwalk)) - 固件分析工具。 *    128⭐     24🍴 [BluePill](https://github.com/season-lab/bluepill)) - 用于执行和调试规避型恶意软件和受保护可执行文件的框架。 *   8571⭐   1659🍴 [Capstone](https://github.com/aquynh/capstone)) - 用于 二进制分析和的反汇编框架，支持多种架构和 多种语言的绑定。 *     46⭐      6🍴 [codebro](https://github.com/hugsy/codebro)) - 基于 Web 的代码浏览器，使用 clang 提供基本的代码分析。 *      ?⭐      ?🍴 [Cutter](https://github.com/radareorg/cutter)) - Radare2 的 GUI。 *    837⭐    167🍴 [DECAF (Dynamic Executable Code Analysis Framework)](https://github.com/sycurelab/DECAF)) - 基于 QEMU 的二进制分析平台。DroidScope 现在是 DECAF 的扩展。 *  29042⭐   5477🍴 [dnSpy](https://github.com/0xd4d/dnSpy)) - .NET 程序集编辑器、反编译器 和调试器。 * 🌎 [dotPeek](www.jetbrains.com/decompiler/) - 免费的 .NET 反编译器和 程序集浏览器。 * [Evan's Debugger (EDB)](http://codef00.com/projects#debugger) - 具有 Qt GUI 的模块化调试器。 *   2431⭐    203🍴 [Fibratus](https://github.com/rabbitstack/fibratus)) - 用于探索 和跟踪 Windows 内核的工具。 * 🌎 [FPort](www.mcafee.com/us/downloads/free-tools/fport.aspx) - 报告 实时系统中打开的 TCP/IP 和 UDP 端口，并将它们映射到所属应用程序。 * [GDB](http://www.sourceware.org/gdb/) - GNU 调试器。 *   8036⭐    809🍴 [GEF](https://github.com/hugsy/gef)) - GDB 增强功能，适用于漏洞利用者 和逆向工程师。 *  65156⭐   7190🍴 [Ghidra](https://github.com/NationalSecurityAgency/ghidra)) - 由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架。 *    170⭐     16🍴 [hackers-grep](https://github.com/codypierce/hackers-grep)) - 用于 在 PE 可执行文件中搜索字符串（包括导入、导出和调试 符号）的实用程序。 * 🌎 [Hopper](www.hopperapp.com/) - macOS 和 Linux 反汇编器。 * 🌎 [IDA Pro](www.hex-rays.com/products/ida/index.shtml) - Windows 反汇编器和调试器，有免费评估版。 *   1104⭐    247🍴 [IDR](https://github.com/crypto2011/IDR)) - Interactive Delphi Reconstructor 是 Delphi 可执行文件和动态链接库的反编译器。 * [Immunity Debugger](http://debugger.immunityinc.com/) - 用于 恶意软件分析等的调试器，带有 Python API。 * [ILSpy](http://ilspy.net/) - ILSpy 是开源的 .NET 程序集浏览器和反编译器。 * [Kaitai Struct](http://kaitai.io/) - 用于文件格式/网络协议/ 数据结构逆向工程和剖析的 DSL，可为 C++、C#、Java、JavaScript、Perl、PHP、Python、Ruby 生成代码。 * 🌎 [LIEF](lief.quarkslab.com/) - LIEF 提供了一个跨平台库， 用于解析、修改和抽象 ELF、PE 和 MachO 格式。 * [ltrace](http://ltrace.org/) - Linux 可执行文件的动态分析。 *     86⭐     24🍴 [mac-a-mal](https://github.com/phdphuc/mac-a-mal)) - Mac 恶意软件 搜索的自动化框架。 * 🌎 [objdump](en.wikipedia.org/wiki/Objdump) - GNU binutils 的 一部分，用于 Linux 二进制文件的静态分析。 * [OllyDbg](http://www.ollydbg.de/) - Windows 可执行文件的 汇编级调试器。 * 🌎 [OllyDumpEx](low-priority.appspot.com/ollydumpex/) - 从（未打包的） 恶意软件 Windows 进程转储内存并存储原始或重建的 PE 文件。 这是 OllyDbg、Immunity Debugger、IDA Pro、WinDbg 和 x64dbg 的插件。 *    107⭐     42🍴 [PANDA](https://github.com/moyix/panda)) - 平台无关的 动态分析平台。 *   6106⭐    829🍴 [PEDA](https://github.com/longld/peda)) - GDB 的 Python 漏洞利用 开发辅助，具有增强的显示和添加的命令。 * 🌎 [pestudio](winitor.com/) - 对 Windows 可执行文件执行静态分析。 *   1675⭐    208🍴 [Pharos](https://github.com/cmu-sei/pharos)) - Pharos 二进制分析框架 可用于对二进制文件执行自动静态分析。 *   3064⭐    272🍴 [plasma](https://github.com/plasma-disassembler/plasma)) - 用于 x86/ARM/MIPS 的 交互式反汇编器。 * 🌎 [PPEE (puppy)](www.mzrst.com/) - 适用于 逆向工程师、恶意软件研究人员以及希望更详细地静态检查 PE 文件的人员的专业 PE 文件浏览器。 * 🌎 [Process Explorer](docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) - Windows 的高级任务管理器。 * [Process Hacker](http://processhacker.sourceforge.net/) - 监控 系统资源的工具。 * 🌎 [Process Monitor](docs.microsoft.com/en-us/sysinternals/downloads/procmon) - Windows 程序的高级监控工具。 * 🌎 [PSTools](docs.microsoft.com/en-us/sysinternals/downloads/pstools) - Windows 命令行工具，可帮助管理和调查实时系统。 *    394⭐     95🍴 [Pyew](https://github.com/joxeankoret/pyew)) - 用于恶意软件 分析的 Python 工具。 *   1682⭐    252🍴 [PyREBox](https://github.com/Cisco-Talos/pyrebox)) - Cisco Talos 团队推出的 Python 脚本化逆向工程沙箱。 * 🌎 [Qiling Framework](www.qiling.io/) - 跨平台模拟和沙箱 框架，配有用于二进制分析的工具。 *      ?⭐      ?🍴 [QKD](https://github.com/ispras/qemu/releases/)) - 嵌入了 WinDbg 服务器的 QEMU，用于隐蔽调试。 * [Radare2](http://www.radare.org/r/) - 逆向工程框架， 支持调试器。 * 🌎 [RegShot](sourceforge.net/projects/regshot/) - 比较快照的 注册表比较实用程序。 * 🌎 [RetDec](retdec.com/) - 可重定目标的机器码反编译器，具有 🌎 [在线反编译服务](retdec.com/decompilation/) 和 🌎 [API](retdec.com/api/)，您可以在您的工具中使用。 *    287⭐     42🍴 [ROPMEMU](https://github.com/Cisco-Talos/ROPMEMU)) - 用于分析、剖析 和反编译复杂代码重用攻击的框架。 *   1329⭐    269🍴 [Scylla Imports Reconstructor](https://github.com/NtQuery/Scylla)) - 查找并修复 未打包/转储的 PE32 恶意软件的 IAT。 *   4012⭐    487🍴 [ScyllaHide](https://github.com/x64dbg/ScyllaHide)) - 反反调试库 和 OllyDbg、x64dbg、IDA Pro 和 TitanEngine 的插件。 *     66⭐     15🍴 [SMRT](https://github.com/pidydx/SMRT)) - Sublime 恶意软件研究工具， Sublime 3 的插件，用于辅助恶意软件分析。 * 🌎 [strace](sourceforge.net/projects/strace/) - Linux 可执行文件的 动态分析。 *    752⭐    128🍴 [StringSifter](https://github.com/fireeye/stringsifter)) - 一种机器学习工具， 根据字符串与恶意软件分析的相关性自动对其进行排名。 * 🌎 [Triton](triton.quarkslab.com/) - 动态二进制分析 (DBA) 框架。 *   1069⭐    317🍴 [Udis86](https://github.com/vmt/udis86)) - 用于 x86 和 x86_64 的 反汇编器库和工具。 *    987⭐    190🍴 [Vivisect](https://github.com/vivisect/vivisect)) - 用于 恶意软件分析的 Python 工具。 * 🌎 [WinDbg](developer.microsoft.com/en-us/windows/hardware/download-windbg) - Microsoft Windows 计算机操作系统的多用逋试器，用于调试用户模式应用程序、设备驱动程序和内核模式内存转储。 *      ?⭐      ?🍴 [X64dbg](https://github.com/x64dbg/)) - Windows 的开源 x64/x32 调试器。 ## 网络 *分析网络交互。* * 🌎 [Bro](www.bro.org) - 协议分析器，具有惊人的 扩展能力；支持文件和网络协议。 *     33⭐      5🍴 [BroYara](https://github.com/hempnall/broyara)) - 从 Bro 使用 Yara 规则。 *    723⭐    161🍴 [CapTipper](https://github.com/omriher/CapTipper)) - 恶意 HTTP 流量 资源管理器。 *    497⭐    112🍴 [chopshop](https://github.com/MITRECND/chopshop)) - 协议分析和 解码框架。 * 🌎 [CloudShark](www.cloudshark.org) - 基于 Web 的数据包分析 和恶意软件流量检测工具。 *   2088⭐    380🍴 [FakeNet-NG](https://github.com/fireeye/flare-fakenet-ng)) - 下一代 动态网络分析工具。 * 🌎 [Fiddler](www.telerik.com/fiddler) - 拦截 Web 代理， 专为“Web 调试”而设计。 *    203⭐     62🍴 [Hale](https://github.com/pjlantz/Hale)) - 僵尸网络 C&C 监控器。 * [H](http://www.haka-security.org/) - 一种面向安全的 开源语言，用于描述协议并在（实时）捕获的流量上应用安全策略。 *     96⭐     40🍴 [HTTPReplay](https://github.com/jbremer/httpreplay)) - 用于解析 和读出 PCAP 文件的库，包括使用 TLS 主密钥的 TLS 流 （在 Cuckoo Sandbox 中使用）。 * [INetSim](http://www.inetsim.org/) - 网络服务模拟， 在构建恶意软件实验室时很有用。 *    751⭐    160🍴 [Laika BOSS](https://github.com/lmco/laikaboss)) - Laika BOSS 是一个以文件为中心的 恶意软件分析和入侵检测系统。 *    457⭐     71🍴 [Malcolm](https://github.com/idaholab/Malcolm)) - Malcolm 是一个功能强大、易于 部署的网络流量分析工具套件，用于完整数据包捕获工件 （PCAP 文件）和 Zeek 日志。 *   1164⭐    216🍴 [Malcom](https://github.com/tomchop/malcom)) - 恶意软件通信 分析器。 *   8258⭐   1246🍴 [Maltrail](https://github.com/stamparm/maltrail)) - 恶意流量 检测系统，利用包含恶意和/或一般可疑轨迹的公开可用（黑）名单， 并具有报告和分析界面。 * 🌎 [mitmproxy](mitmproxy.org/) - 即时拦截网络流量。 *   7311⭐   1133🍴 [Moloch](https://github.com/aol/moloch)) - IPv4 流量捕获、索引 和数据库系统。 * [NetworkMiner](http://www.netresec.com/?page=NetworkMiner) - 网络取证 分析工具，有免费版本。 *    997⭐    106🍴 [ngrep](https://github.com/jpr5/ngrep)) - 像 grep 一样 搜索网络流量。 *    356⭐     65🍴 [PcapViz](https://github.com/mateuszk87/PcapViz)) - 网络拓扑和 流量可视化工具。 *     58⭐     13🍴 [Python ICAP Yara](https://github.com/RamadhanAmizudin/python-icap-yara)) - 带有 Yara 扫描器的 ICAP 服务器，用于 URL 或

标签：DAST, HTTPS请求, SecList, Shellcode分析, Sigma 规则, Windows取证, 云安全监控, 云资产清单, 僵尸网络, 内存取证, 匿名化工具, 合规性检查, 域名分析, 威胁情报, 安全工具合集, 开发者工具, 恶意软件分析, 文件雕刻, 样本分析, 沙箱检测, 漏洞利用分析, 网络安全, 脱壳去混淆, 自动回退, 蜜罐技术, 计算机病毒, 逆向工具, 逆向工程, 隐私保护, 静态分析