ASTRA-LabsHQ/Malware-Analysis-Resources

# 恶意软件分析资源 [](https://hits.sh/github.com/ASTRA-LabsHQ/Malware-Analysis-Resources/) 一个汇集了恶意软件分析、逆向工程和系统内部机制相关资源的仓库。此合集专为希望深入了解恶意软件研究与防御的专业人士和学习者量身定制。 ## 目录 1. [在线资源与博客](#online-resources--blogs) 2. [威胁情报与研究报告](#threat-intelligence--research-reports) 3. [书籍](#books) 4. [认证](#certifications) 5. [免费工具](#free-tools) 6. [沙箱与 IOC 平台](#sandboxes--ioc-platforms) 7. [付费工具](#paid-tools) 8. [课程](#courses) 9. [社区](#communities) 10. [视频与 YouTube 频道](#videos--youtube-channels) ## 在线资源与博客 ### 恶意软件分析与逆向工程 - [Malware Unicorn](https://malwareunicorn.org)：关于逆向工程和恶意软件分析的教程和实战研讨会。 - [Hexacorn](http://www.hexacorn.com/blog/)：关于 Windows 内部机制、持久化机制和逆向工程的高级主题。 - [Practical Reverse Engineering](https://practicalreverseengineering.com/)：针对逆向工程师的深度分析和技巧。 - [DFIR Report](https://thedfirreport.com)：详细的现实世界入侵案例研究，展示了从初始访问到造成影响的完整攻击链。 - [Malware Traffic Analysis](https://malware-traffic-analysis.net/)：用于分析恶意软件网络通信的 PCAP 样本和教程。 - [Didier Stevens Blog](https://blog.didierstevens.com)：实用工具，以及对基于文档的恶意软件、PDF 分析等内容的深度剖析。 - [Hacking Articles](https://www.hackingarticles.in)：关于恶意软件分析和渗透测试技术的文章。 - [0xdf hacks stuff](https://0xdf.gitlab.io)：详细的 CTF 题解和二进制分析演练。 - [MalwareTech Blog](https://www.malwaretech.com)：来自 WannaCry “开关” 研究员的恶意软件研究和僵尸网络追踪。 ### 威胁情报与供应商研究博客 - [Securelist (Kaspersky GReAT)](https://securelist.com)：来自卡巴斯基全球研究与分析团队 (GReAT) 的 APT 研究、恶意软件分析和威胁行为者追踪。 - [Mandiant Blog](https://www.mandiant.com/resources/blog)：来自业内最受尊敬的应急响应 (IR) 公司之一的一线调查报告、APT 组织画像和恶意软件逆向工程。 - [Cisco Talos Intelligence Blog](https://blog.talosintelligence.com)：涵盖恶意软件活动、漏洞分析和攻击者 TTP 的高质量威胁研究。 - [Group-IB Blog](https://www.group-ib.com/blog/)：威胁情报和网络犯罪研究，重点关注受经济利益驱动的行为者和勒索软件团伙。 - [Elastic Security Labs](https://www.elastic.co/security-labs)：深度恶意软件分析和入侵集合研究，专注于新型恶意软件家族和检测工程。 - [SentinelOne Labs](https://www.sentinelone.com/labs/)：关于 APT、勒索软件和 macOS/Linux 恶意软件的研究。 - [CrowdStrike Blog](https://www.crowdstrike.com/blog/)：威胁行为者情报、对手画像（网络犯罪和国家资助）以及恶意软件研究。 - [Palo Alto Unit 42](https://unit42.paloaltonetworks.com)：涵盖恶意软件家族、勒索软件和威胁行为者活动的威胁情报报告。 - [FortiGuard Labs Threat Research](https://www.fortinet.com/blog/threat-research)：持续的恶意软件活动分析和漏洞研究。 - [Microsoft Threat Intelligence Blog](https://www.microsoft.com/en-us/security/blog/topic/threat-intelligence/)：由国家资助活动、恶意软件变种追踪以及基于全球遥测数据的大规模活动覆盖组成。 - [IBM X-Force Exchange](https://exchange.xforce.ibmcloud.com)：威胁情报共享平台，提供 IOC 查询、行为者画像和漏洞数据。 - [Check Point Research](https://research.checkpoint.com)：恶意软件逆向、活动追踪和漏洞研究。 - [Trellix Advanced Research Center](https://www.trellix.com/blogs/research/)：来自前 FireEye/McAfee 团队的研究，涵盖高级威胁行为者和恶意软件。 - [ESET Research](https://www.welivesecurity.com)：APT 活动发现、恶意软件逆向和威胁行为者归因。 ## 威胁情报与研究报告 这些是了解当前威胁态势的必读内容。大多数为年度或季度发布。 ### 年度 / 旗舰报告 - [Mandiant M-Trends Report](https://www.mandiant.com/m-trends)：关于全球入侵趋势、攻击者驻留时间以及源自一线应急响应 (IR) 任务的新兴 TTP 的年度报告。 - [CrowdStrike Global Threat Report](https://www.crowdstrike.com/global-threat-report/)：全面概述年度网络犯罪 和国家资助活动、突破时间和恶意软件趋势。 - [Verizon Data Breach Investigations Report (DBIR)](https://www.verizon.com/business/resources/reports/dbir/)：关于各行业违规模式、攻击者动机和攻击向量的行业标准年度报告。 - [Group-IB Hi-Tech Crime Trends](https://www.group-ib.com/resources/research/)：追踪受经济利益驱动的网络犯罪、勒索软件生态系统和地下市场趋势的年度报告。 - [Securelist APT Reports](https://securelist.com/category/apt-reports/)：来自卡巴斯基 GReAT 的持续 APT 活动报告，涵盖全球范围内的国家资助行为者。 - [Google TAG / GTIG Reports](https://blog.google/threat-analysis-group/)：Google 威胁分析小组 和威胁情报组 关于政府支持的攻击者和 0-day 漏洞利用的出版物。 - [Microsoft Digital Defense Report](https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report)：基于数十亿端点信号支持的宏观年度威胁态势报告。 ### 恶意软件与特定活动报告 - [CISA Advisories & Malware Analysis Reports](https://www.cisa.gov/resources-tools/resources/malware-analysis-reports)：美国政府官方的恶意软件分析报告和联合网络安全公告。 - [CERT/CC Vulnerability Notes](https://www.kb.cert.org/vuls/)：来自卡内基梅隆大学 CERT 协调中心的漏洞说明和公告。 - [US-CERT / CISA Alerts](https://www.cisa.gov/news-events/cybersecurity-advisories)：与活跃威胁活动相关的操作建议、TTP 和 IOC。 - [abuse.ch Projects](https://abuse.ch)：追踪恶意软件僵尸网络基础设施，包括 MalwareBazaar (样本)、ThreatFox (IOC)、URLhaus (恶意 URL) 和 Feodo Tracker (C2 IP)。 ### 勒索软件追踪 - [Ransomwatch](https://ransomwatch.telemetry.ltd)：汇总勒索软件团伙泄露网站的帖子，用于追踪活跃团伙和受害者。 - [ID Ransomware](https://id-ransomware.malwarehunterteam.com)：通过勒索信和加密文件样本识别勒索软件家族。 ## 书籍 ### 通用恶意软件分析 - _Practical Malware Analysis_ by Michael Sikorski and Andrew Honig - _Malware Analyst's Cookbook_ by Michael Hale Ligh et al. - _Practical Malware Analysis and Triage_ by Cameron H. Malin ### Windows 内部机制 - _Windows Internals_ by Mark E. Russinovich, David A. Solomon, and Alex Ionescu (Part 1 & 2) ### 汇编与逆向工程 - _Reversing: Secrets of Reverse Engineering_ by Eldad Eilam - _The IDA Pro Book_ by Chris Eagle - _Guide to Assembly Language_ by James T. Streib ### 威胁情报 - _The Threat Intelligence Handbook_ by Recorded Future (通过其网站免费获取 PDF) - _Intelligence-Driven Incident Response_ by Scott J. Roberts and Rebekah Brown ## 认证 - **Practical Malware Research Professional (PMRP)** by TCM Security - **GIAC Reverse Engineering Malware (GREM)** by SANS Institute - **Certified Reverse Engineer (MRE)** by Mossé Cyber Security Institute - **Certified Malware Analysis Professional (eCMAP)** by INE - **Certified Mobile Malware Reverse Engineer (CMMRE)** by 8kSec - **OSCE3** by Offensive Security (包含二进制利用和逆向工程模块) - **Introduction to Malware Binary Triage (IMBT)** by [Invoke RE](https://invokere.com/services/online-training/) ## 免费工具 ### 反汇编器与调试器 - [Ghidra](https://ghidra-sre.org)：由 NSA 开发并发布的逆向工程框架。 - [Cutter](https://cutter.re)：radare2 的 GUI 前端。 - [x64dbg](https://x64dbg.com)：用于 x64 和 x32 应用程序的开源调试器。 - [Binary Ninja (免费版)](https://binary.ninja/)：现代反汇编器，提供免费的云端版本。 ### 分析环境 - [FlareVM](https://github.com/mandiant/flare-vm)：来自 Mandiant FLARE 团队的基于 Windows 的恶意软件分析发行版。 - [REMnux](https://remnux.org)：用于逆向工程和分析恶意软件的 Linux 工具集。 ### 系统监控 - [Process Hacker / System Informer](https://processhacker.sourceforge.io)：高级进程查看器和系统监控工具。 - [Sysinternals Suite](https://learn.microsoft.com/en-us/sysinternals/)：微软必备的 Windows 内部机制工具集 (Process Monitor, Autoruns, TCPView 等)。 - [API Monitor](http://www.rohitab.com/apimonitor)：监控和控制应用程序发出的 API 调用。 ### 网络分析 - [Wireshark](https://www.wireshark.org)：行业标准网络协议分析器。 - [ApateDNS](https://www.fireeye.com/services/freeware/apatedns.html)：用于拦截恶意软件 DNS 请求的 DNS 分析工具。 - [FakeNet-NG](https://github.com/mandiant/flare-fakenet-ng)：用于动态恶意软件分析的网络模拟工具。 ### 静态分析 - [PE Studio](https://www.winitor.com)：PE 文件静态分析工具；非常适合初步分类。 - [CyberChef](https://gchq.github.io/CyberChef/)：基于浏览器的编码、解码和数据转换工具（分析界的“瑞士军刀”）。 - [YARA](https://github.com/VirusTotal/yara)：用于识别和分类恶意软件样本的模式匹配工具。 - [Detect-It-Easy (DIE)](https://github.com/horsicq/Detect-It-Easy)：识别文件类型、加壳器、编译器和保护器。 ## 沙箱与 IOC 平台 ### 在线沙箱 - [ANY.RUN](https://any.run)：交互式恶意软件沙箱，提供实时行为分析和庞大的社区威胁情报数据库。 - [VirusTotal](https://www.virustotal.com)：多引擎文件、URL、域名和 IP 分析；业内使用最广泛的分类工具。 - [Hybrid Analysis](https://www.hybrid-analysis.com)：由 CrowdStrike Falcon Sandbox 提供支持的免费公共沙箱。 - [Joe Sandbox](https://www.joesandbox.com)：深度行为恶意软件分析，提供详细报告和 MITRE ATT&CK 映射。 - [Triage (Hatching)](https://tria.ge)：快速、社区可访问的沙箱，支持 YARA 和配置提取。 - [PolySwarm](https://polyswarm.io)：分散式威胁情报市场，提供多引擎扫描。 ### IOC 查询与威胁情报平台 - [ThreatFox (abuse.ch)](https://threatfox.abuse.ch)：专注于恶意软件指标的社区驱动 IOC 共享平台。 - [MalwareBazaar (abuse.ch)](https://bazaar.abuse.ch)：恶意软件样本共享存储库，支持哈希查询和 YARA 规则匹配。 - [URLhaus (abuse.ch)](https://urlhaus.abuse.ch)：用于恶意软件分发的恶意 URL 数据库。 - [AlienVault OTX](https://otx.alienvault.com)：开放式威胁情报社区，提供与特定活动相关的 pulse (IOC 包)。 - [MISP](https://www.misp-project.org)：用于结构化 IOC 共享和关联的开源威胁情报平台。 - [Shodan](https://www.shodan.io)：互联网连接设备搜索引擎；对于搜寻 C2 基础设施非常宝贵。 ## 付费工具 - [IDA Pro](https://hex-rays.com)：行业标准的反汇编器和调试器。 - [Hex-Rays Decompiler](https://hex-rays.com)：IDA Pro 的高级反编译插件。 - [BinaryNinja](https://binary.ninja/)：现代商业反汇编器，拥有活跃的插件生态系统。 - [VMRay](https://www.vmray.com)：企业级沙箱和威胁分析平台。 - [Cuckoo Sandbox](https://cuckoosandbox.org)：开源自动恶意软件分析（自托管）。 ## 课程 - [Practical Malware Analysis & Triage (PMAT) by TCM Security](https://academy.tcm-sec.com/) - [Practical Malware Analysis & Triage](https://learn.malwareunicorn.org) by Malware Unicorn (免费) - [SANS FOR610: Reverse-Engineering Malware](https://www.sans.org/cyber-security-courses/reverse-engineering-malware-malware-analysis-tools-techniques/) - [SANS SEC660: Advanced Penetration Testing, Exploit Writing, and Ethical Hacking](https://www.sans.org) - [Advanced Malware Analysis and Reverse Engineering](https://ringzer0.training/) - [OpenSecurityTraining2](https://ost2.fyi)：关于架构、逆向工程和漏洞研究的免费大学级课程。 ## 社区 - [Malware Analysts on Reddit](https://www.reddit.com/r/Malware/) - [Reverse Engineering Stack Exchange](https://reverseengineering.stackexchange.com/) - [The Binary Ninja Slack Community](https://binary.ninja/slack) - [vxground](https://vx-underground.org)：庞大的恶意软件样本、论文和研究库。社区专注于攻击性恶意软件研究。 - [MalwareTech Forums / Discord](https://www.malwaretech.com)：围绕僵尸网络追踪和恶意软件研究的社区。 ## 视频与 YouTube 频道 - [ASTRA Labs](https://www.youtube.com/@Astra-labs)：恶意软件分析、逆向工程和恶意软件引爆。 - [MalwareTech](https://www.youtube.com/@MalwareTechBlog)：恶意软件分析教程和僵尸网络追踪见解。 - [John Hammond](https://www.youtube.com/@_JohnHammond)：网络安全、CTF 和逆向工程视频。 - [LiveOverflow](https://www.youtube.com/@LiveOverflow)：逆向工程和黑客教程，非常注重基础知识。 - [Seytonic](https://www.youtube.com/@seytonic)：逆向工程和安全研究主题。 - [OALabs](https://www.youtube.com/@OALABS)：逆向工程和恶意软件分析，专注于脱壳和配置提取。 - [Josh Stroschein (The Cyber Yeti)](https://www.youtube.com/@jstrosch)：来自 GREM 认证分析师的实用恶意软件分析演练。 - [stacksmashing](https://www.youtube.com/@stacksmashing)：嵌入式系统和硬件逆向工程。 - [Invoke RE](https://www.youtube.com/@InvokeReversing)：恶意软件分析演示，通常在实验室环境中涵盖真实世界的样本。 ## MITRE 资源 - [MITRE ATT&CK](https://attack.mitre.org)：映射对手战术、技术和过程 (TTP) 的事实标准框架。对于分析和检测工程至关重要。 - [MITRE ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/)：用于可视化和注释 ATT&CK 覆盖范围的交互式工具。 - [MITRE D3FEND](https://d3fend.mitre.org)：与 ATT&CK 技术相对应的防御对策知识图谱。 - [MITRE ATLAS](https://atlas.mitre.org)：专注于 AI/ML 系统对抗性威胁的 ATT&CK 风格框架。 ## 贡献 欢迎通过提交包含您建议的资源或改进的 Pull Request 来为本仓库做出贡献！ 祝分析愉快！

标签：AD攻击面, CTF攻略, DAST, ESC1, Windows内存取证, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 内核模块, 在线课程, 威胁情报, 安全博客推荐, 安全工具集, 安全社区, 安全认证, 安全资源, 开发者工具, 恶意软件分析, 情报收集, 攻击链分析, 沙箱技术, 漏洞研究, 白皮书, 系统内核, 红队平台, 网络安全, 逆向工程, 防御加固, 隐私保护, 静态分析