0 初衷
GitHub这一份黑客技能列表很不错,包含了多个方向的安全。但目前我关注只有逆向工程与恶意代码,所以其他的被暂时略过。
虽然很感谢作者的辛勤付出,但并不打算复制粘贴全套转载。逐条整理是为了从大量资源里梳理出自己觉得实用性很高的东西。
《Awesome-Hacking》
https://github.com/Hack-with-Github/Awesome-Hacking
Awesome Hacking系列-恶意代码分析
- 恶意软件分析:包括恶意软件收集、开源威胁情报、检测、沙箱等
https://github.com/rshipp/awesome-malware-analysis
1 恶意软件分析
这是基于Awesome-Hacking列表工具中的一部分工具,需要注册用户或是不常用的工具不进行记录。
1.1 梳理恶意软件分析的工具集合
-
匿名软件
-
- Shadowsocks 这是我常用的
-
蜜罐
-
- 目前没有需要用到蜜罐的需求
-
恶意软件样本库
-
- Contagio - 近期的恶意软件样本和分析的收集(注意:需要翻墙)
http://contagiodump.blogspot.com/
- Contagio - 近期的恶意软件样本和分析的收集(注意:需要翻墙)
-
- Exploit Database - Exploit 和 shellcode 样本
https://www.exploit-db.com/
- Exploit Database - Exploit 和 shellcode 样本
-
- MalwareDB - 恶意软件样本库
http://malwaredb.malekal.com/
- MalwareDB - 恶意软件样本库
-
- Tracker h3x - 勒索者恶意软件下载地址和C&C域名的聚合
http://tracker.h3x.eu/families
- Tracker h3x - 勒索者恶意软件下载地址和C&C域名的聚合
-
- VX Vault - 恶意软件样本的C&C域名与IP
http://vxvault.net/ViriList.php
- VX Vault - 恶意软件样本的C&C域名与IP
-
开源威胁情报
-
- AlienVault Open Threat Exchange - 威胁情报的共享与合作
https://otx.alienvault.com/
- AlienVault Open Threat Exchange - 威胁情报的共享与合作
-
- Combine - 一款可以从公开的信息源中得到威胁情报信息(MaxMind GeoIP ASN Database、MaxMind GeoIP Database、Farsight Security's DNSDB)
https://github.com/mlsecproject/combine
- Combine - 一款可以从公开的信息源中得到威胁情报信息(MaxMind GeoIP ASN Database、MaxMind GeoIP Database、Farsight Security's DNSDB)
-
- Fileintel - 文件情报,可以把病毒HASH保存在文本文件提交给Virustotal等网站进行查询,生成报表
https://github.com/keithjjones/fileintel
- Fileintel - 文件情报,可以把病毒HASH保存在文本文件提交给Virustotal等网站进行查询,生成报表
-
- Hostintel - 主机情报,可以把IPH保存在文本文件提交给IP查询网址进行查询,生成列表(Country、Postal、City、State)
https://github.com/keithjjones/hostintel
- Hostintel - 主机情报,可以把IPH保存在文本文件提交给IP查询网址进行查询,生成列表(Country、Postal、City、State)
-
- ThreatCrowd - 带有图形可视化的威胁搜索引擎
https://www.threatcrowd.org/
- ThreatCrowd - 带有图形可视化的威胁搜索引擎
-
- Cybercrime tracker - 多个僵尸网络的活动跟踪
http://cybercrime-tracker.net/
- Cybercrime tracker - 多个僵尸网络的活动跟踪
-
- Internet Storm Center (DShield) - 日志和可搜索的事件数据库,并且带有 Web API(非官方 Python 库).
https://isc.sans.edu/
- Internet Storm Center (DShield) - 日志和可搜索的事件数据库,并且带有 Web API(非官方 Python 库).
-
- malc0de - 搜索事件数据库
http://malc0de.com/database/
- malc0de - 搜索事件数据库
-
- Malware Domain List - 搜索和分享恶意软件 URL
http://www.malwaredomainlist.com/mdl.php
- Malware Domain List - 搜索和分享恶意软件 URL
-
- Ransomware overview - 勒索软件的概述列表
https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml
- Ransomware overview - 勒索软件的概述列表
-
- threatRECON - Threat Recon™是由Wapack Labs开发的免费网络威胁情报分析服务(搜索指标,每月最多一千次)
https://threatrecon.co/
- threatRECON - Threat Recon™是由Wapack Labs开发的免费网络威胁情报分析服务(搜索指标,每月最多一千次)
-
检测与分类
-
- AnalyzePE - Windows PE 文件的分析器
https://github.com/hiddenillusion/AnalyzePE
- AnalyzePE - Windows PE 文件的分析器
-
- ClamAV - 开源反病毒引擎
http://www.clamav.net/
- ClamAV - 开源反病毒引擎
-
- Detect-It-Easy - 用于确定文件类型的程序
https://github.com/horsicq/Detect-It-Easy
- Detect-It-Easy - 用于确定文件类型的程序
-
- PEV - 为正确分析可疑的二进制文件提供功能丰富工具的 PE 文件多平台分析工具集
http://pev.sourceforge.net/
- PEV - 为正确分析可疑的二进制文件提供功能丰富工具的 PE 文件多平台分析工具集
-
- TrID - 文件识别
http://mark0.net/soft-trid-e.html
- TrID - 文件识别
-
- YARA - 分析师利用的模式识别工具
http://virustotal.github.io/yara/
- YARA - 分析师利用的模式识别工具
-
- Yara rules generator - 基于恶意样本生成 yara 规则,也包含避免误报的字符串数据库
https://github.com/Neo23x0/yarGen
- Yara rules generator - 基于恶意样本生成 yara 规则,也包含避免误报的字符串数据库
-
在线扫描与沙盒
-
- APK Analyzer - APK 免费动态分析
https://www.apk-analyzer.net/
- APK Analyzer - APK 免费动态分析
-
- AndroTotal - 利用多个移动反病毒软件进行免费在线分析 App
https://andrototal.org/scan/result/Ys5J9S-WSba36K5b4OosNQ
- AndroTotal - 利用多个移动反病毒软件进行免费在线分析 App
-
- AVCaesar - Malware.lu 在线扫描器和恶意软件集合
https://avcaesar.malware.lu/
- AVCaesar - Malware.lu 在线扫描器和恶意软件集合
-
- Cryptam - 分析可疑的 Office 文档
http://www.cryptam.com/
- Cryptam - 分析可疑的 Office 文档
-
- cuckoo-modified - GPL 许可证的 Cuckoo 沙盒的修改版,由于法律原因作者没有将其分支合并
https://github.com/brad-accuvant/cuckoo-modified
- cuckoo-modified - GPL 许可证的 Cuckoo 沙盒的修改版,由于法律原因作者没有将其分支合并
-
- cuckoo-modified-api - 用于控制 cuckoo-modified 沙盒的 Python API
https://github.com/brad-accuvant/cuckoo-modified
- cuckoo-modified-api - 用于控制 cuckoo-modified 沙盒的 Python API
-
- Document Analyzer - DOC 和 PDF 文件的免费动态分析
https://www.document-analyzer.net/
- Document Analyzer - DOC 和 PDF 文件的免费动态分析
-
- DRAKVUF - 动态恶意软件分析系统
https://github.com/tklengyel/drakvuf
- DRAKVUF - 动态恶意软件分析系统
-
- File Analyzer - 免费 PE 文件动态分析
https://www.file-analyzer.net/
- File Analyzer - 免费 PE 文件动态分析
-
- firmware.re - 解包、扫描、分析绝大多数固件包
http://firmware.re/
- firmware.re - 解包、扫描、分析绝大多数固件包
-
- Hybrid Analysis - 由 VxSandbox 支持的在线恶意软件分析工具
https://www.hybrid-analysis.com/
- Hybrid Analysis - 由 VxSandbox 支持的在线恶意软件分析工具
-
- Jotti - 免费在线多反病毒引擎扫描器
https://virusscan.jotti.org/en
- Jotti - 免费在线多反病毒引擎扫描器
-
- Limon - 分析 Linux 恶意软件的沙盒
https://github.com/monnappa22/Limon
- Limon - 分析 Linux 恶意软件的沙盒
-
- Malheur - 恶意行为的自动化沙盒分析
https://github.com/rieck/malheur
- Malheur - 恶意行为的自动化沙盒分析
-
- Malwr - 免费的在线 Cuckoo 沙盒分析实例(但是会共享样本,分析的也只是静态)
https://malwr.com/analysis/
- Malwr - 免费的在线 Cuckoo 沙盒分析实例(但是会共享样本,分析的也只是静态)
-
- Metadefender.com - 扫描文件、哈希或恶意软件的 IP 地址
https://www.metadefender.com/#!/scan-file
- Metadefender.com - 扫描文件、哈希或恶意软件的 IP 地址
-
- NetworkTotal - 一个分析 pcap 文件的服务,使用配置了 EmergingThreats Pro 的Suricata 快速检测病毒、蠕虫、木马和各种恶意软件
https://www.networktotal.com/index.html
- NetworkTotal - 一个分析 pcap 文件的服务,使用配置了 EmergingThreats Pro 的Suricata 快速检测病毒、蠕虫、木马和各种恶意软件
-
- Noriben - 使用 Sysinternals Procmon 收集恶意软件在沙盒环境下的进程信息
https://github.com/Rurik/Noriben
- Noriben - 使用 Sysinternals Procmon 收集恶意软件在沙盒环境下的进程信息
-
- PDF Examiner - 收集可疑的 PDF 文件
http://www.pdfexaminer.com/
- PDF Examiner - 收集可疑的 PDF 文件
-
- Sand droid - 自动化、完整的 Android 应用程序分析系统
http://sanddroid.xjtu.edu.cn/
- Sand droid - 自动化、完整的 Android 应用程序分析系统
-
- VirusTotal - 免费的在线恶意软件样本和 URL 分析
https://www.virustotal.com/
- VirusTotal - 免费的在线恶意软件样本和 URL 分析
-
网络ip、域名分析
-
- Dig - 免费的在线 dig 以及其他网络工具
https://networking.ringofsaturn.com/Tools/dig.php
- Dig - 免费的在线 dig 以及其他网络工具
-
- dnstwist - 用于检测钓鱼网站和公司间谍活动的域名排名网站
https://github.com/elceef/dnstwist
- dnstwist - 用于检测钓鱼网站和公司间谍活动的域名排名网站
-
- IPinfo - 通过搜索在线资源收集关于 IP 或 域名的信息
https://github.com/hiddenillusion/IPinfo/blob/master/IPinfo.py
- IPinfo - 通过搜索在线资源收集关于 IP 或 域名的信息
-
- MaltegoVT - 让 Maltego 使用 VirusTotal API,允许搜索域名、IP 地址、文件哈希、报告
https://github.com/michael-yip/MaltegoVT
- MaltegoVT - 让 Maltego 使用 VirusTotal API,允许搜索域名、IP 地址、文件哈希、报告
-
- SenderBase - 搜索 IP、域名或网络的所有者
https://talosintelligence.com/reputation_center/lookup?search=chinahope.net#email-history
- SenderBase - 搜索 IP、域名或网络的所有者
-
- TekDefense Automator - 收集关于 URL、IP 和哈希值的 OSINT 工具
http://www.tekdefense.com/automater/
- TekDefense Automator - 收集关于 URL、IP 和哈希值的 OSINT 工具
-
- Whois - DomainTools 家免费的 whois 搜索
http://whois.domaintools.com/
- Whois - DomainTools 家免费的 whois 搜索
-
网页恶意软件分析
-
- Firebug - Firefox Web 开发扩展
http://getfirebug.com/
- Firebug - Firefox Web 开发扩展
-
- Java Decompiler - 反编译并检查 Java 的应用
http://jd.benow.ca/
- Java Decompiler - 反编译并检查 Java 的应用
-
- jsunpack-n - 一个 javascript 解压软件,可以模拟浏览器功能
https://github.com/urule99/jsunpack-n
- jsunpack-n - 一个 javascript 解压软件,可以模拟浏览器功能
-
- Krakatau - Java 的反编译器、汇编器与反汇编器
https://github.com/Storyyeller/Krakatau
- Krakatau - Java 的反编译器、汇编器与反汇编器
-
- Malzilla - 分析恶意 Web 页面
http://malzilla.sourceforge.net/
- Malzilla - 分析恶意 Web 页面
-
- xxxswf - 分析 Flash 文件的 Python 脚本
http://hooked-on-mnemonics.blogspot.jp/2011/12/xxxswfpy.html
- xxxswf - 分析 Flash 文件的 Python 脚本
-
文档和Shellcode
-
- AnalyzePDF - 分析 PDF 并尝试判断其是否是恶意文件的工具
https://github.com/hiddenillusion/AnalyzePDF
- AnalyzePDF - 分析 PDF 并尝试判断其是否是恶意文件的工具
-
- diStorm - 分析恶意 Shellcode 的反汇编器
http://i53.hatenablog.jp/entry/2015/04/27/171932
http://www.ragestorm.net/distorm/
- diStorm - 分析恶意 Shellcode 的反汇编器
-
- JS Beautifier - JavaScript 脱壳和去混淆
http://jsbeautifier.org/
- JS Beautifier - JavaScript 脱壳和去混淆
-
- JS Deobfuscator - 对那些使用 eval 或 document.write 的简单 Javascript 去混淆
www.kahusecurity.com/2015/new-javascript-deobfuscator-tool/
- JS Deobfuscator - 对那些使用 eval 或 document.write 的简单 Javascript 去混淆
-
- malpdfobj - 解构恶意 PDF 为 JSON 表示
https://github.com/9b/malpdfobj
- malpdfobj - 解构恶意 PDF 为 JSON 表示
-
- OfficeMalScanner - 扫描 MS Office 文档中的恶意跟踪
http://www.reconstructer.org/code.html
- OfficeMalScanner - 扫描 MS Office 文档中的恶意跟踪
-
- olevba - 解析 OLE 和 OpenXML 文档,并提取有用信息的脚本
http://www.decalage.info/python/olevba
- olevba - 解析 OLE 和 OpenXML 文档,并提取有用信息的脚本
-
- Origami PDF - 一个分析恶意 PDF 的工具
https://code.google.com/archive/p/origami-pdf/
- Origami PDF - 一个分析恶意 PDF 的工具
-
- PDF Tools - Didier Stevens 开发的许多关于分析 PDF 的工具
https://blog.didierstevens.com/programs/pdf-tools/
- PDF Tools - Didier Stevens 开发的许多关于分析 PDF 的工具
-
- PDF X-Ray Lite - PDF 分析工具,PDF X-RAY 的无后端版本
https://github.com/9b/pdfxray_lite
- PDF X-Ray Lite - PDF 分析工具,PDF X-RAY 的无后端版本
-
- peepdf - 用来探索可能是恶意的 PDF 的 Python 工具
http://eternal-todo.com/tools/peepdf-pdf-analysis-tool
- peepdf - 用来探索可能是恶意的 PDF 的 Python 工具
-
- QuickSand - QuickSand 是一个紧凑的 C 框架,用于分析可疑的恶意软件文档,以识别不同编码流中的漏洞,并定位和提取嵌入的可执行文件
https://www.quicksand.io/
- QuickSand - QuickSand 是一个紧凑的 C 框架,用于分析可疑的恶意软件文档,以识别不同编码流中的漏洞,并定位和提取嵌入的可执行文件
-
- Spidermonkey - Mozilla 的 JavaScript 引擎,用来调试可疑 JS 代码
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey
- Spidermonkey - Mozilla 的 JavaScript 引擎,用来调试可疑 JS 代码
-
文件提取
-
- 目前没有需要用到文件提取的需求
-
去混淆
-
- Balbuzard - 去除混淆(XOR、ROL等)的恶意软件分析工具
https://bitbucket.org/decalage/balbuzard/wiki/Home
- Balbuzard - 去除混淆(XOR、ROL等)的恶意软件分析工具
-
- de4dot - .NET 去混淆与脱壳
https://github.com/0xd4d/de4dot
- de4dot - .NET 去混淆与脱壳
-
- ex_pe_xor 和 iheartxor - Alexander Hanel 开发的用于去除单字节异或编码的文件的两个工具
http://hooked-on-mnemonics.blogspot.jp/2014/04/expexorpy.html
http://hooked-on-mnemonics.blogspot.jp/p/iheartxor.html
- ex_pe_xor 和 iheartxor - Alexander Hanel 开发的用于去除单字节异或编码的文件的两个工具
-
- FLOSS - FireEye 实验室的混淆字符串求解工具,使用高级静态分析技术来自动去除恶意软件二进制文件中的字符串
https://github.com/fireeye/flare-floss
- FLOSS - FireEye 实验室的混淆字符串求解工具,使用高级静态分析技术来自动去除恶意软件二进制文件中的字符串
-
- NoMoreXOR - 通过频率分析来猜测一个 256 字节的异或密钥
https://github.com/hiddenillusion/NoMoreXOR
- NoMoreXOR - 通过频率分析来猜测一个 256 字节的异或密钥
-
- PackerAttacker - Windows 恶意软件的通用隐藏代码提取程序
https://github.com/BromiumLabs/PackerAttacker
- PackerAttacker - Windows 恶意软件的通用隐藏代码提取程序
-
- unpacker - 基于 WinAppDbg 的自动 Windows 恶意软件脱壳器
https://github.com/malwaremusings/unpacker/
- unpacker - 基于 WinAppDbg 的自动 Windows 恶意软件脱壳器
-
- unxor - 通过已知明文攻击来猜测一个异或密钥
https://github.com/tomchop/unxor/
- unxor - 通过已知明文攻击来猜测一个异或密钥
-
- VirtualDeobfuscator - 虚拟逆向分析工具
https://github.com/jnraber/VirtualDeobfuscator
- VirtualDeobfuscator - 虚拟逆向分析工具
-
- XORBruteForcer - 爆破单字节异或密钥的 Python 脚本
http://eternal-todo.com/var/scripts/xorbruteforcer
- XORBruteForcer - 爆破单字节异或密钥的 Python 脚本
-
- XORSearch 和 XORStrings - Didier Stevens 开发的用于寻找异或混淆后数据的两个工具
http://blog.didierstevens.com/programs/xorsearch/
- XORSearch 和 XORStrings - Didier Stevens 开发的用于寻找异或混淆后数据的两个工具
-
- xortool - 猜测异或密钥和密钥的长度
https://github.com/hellman/xortool
- xortool - 猜测异或密钥和密钥的长度
-
调试和逆向工程
-
- angr - UCSB 的安全实验室开发的跨平台二进制分析框架
https://github.com/angr/angr
- angr - UCSB 的安全实验室开发的跨平台二进制分析框架
-
- BAP - CMU 的安全实验室开发的跨平台开源二进制分析框架
https://github.com/BinaryAnalysisPlatform/bap
- BAP - CMU 的安全实验室开发的跨平台开源二进制分析框架
-
- barf - 跨平台、开源二进制分析逆向框架
https://github.com/programa-stic/barf-project
- barf - 跨平台、开源二进制分析逆向框架
-
- binnavi - 基于图形可视化的二进制分析 IDE
https://github.com/google/binnavi
- binnavi - 基于图形可视化的二进制分析 IDE
-
- Capstone - 二进制分析反汇编框架,支持多种架构和许多语言
https://github.com/aquynh/capstone
- Capstone - 二进制分析反汇编框架,支持多种架构和许多语言
-
- dnSpy - .NET 编辑器、编译器、调试器
https://github.com/0xd4d/dnSpy
- dnSpy - .NET 编辑器、编译器、调试器
-
- Evan's Debugger (EDB) - Qt GUI 程序的模块化调试器
http://codef00.com/projects#debugger
- Evan's Debugger (EDB) - Qt GUI 程序的模块化调试器
-
- Fibratus - 探索、跟踪 Windows 内核的工具
https://github.com/rabbitstack/fibratus
- Fibratus - 探索、跟踪 Windows 内核的工具
-
- FPort - 实时查看系统中打开的 TCP/IP 和 UDP 端口,并映射到应用程序
https://www.mcafee.com/us/downloads/free-tools/fport.aspx
- FPort - 实时查看系统中打开的 TCP/IP 和 UDP 端口,并映射到应用程序
-
- GDB - GNU 调试器
http://www.sourceware.org/gdb/
- GDB - GNU 调试器
-
- GEF - 针对开发人员和逆向工程师的 GDB 增强版
https://github.com/hugsy/gef
- GEF - 针对开发人员和逆向工程师的 GDB 增强版
-
- hackers-grep - 用来搜索 PE 程序中的导入表、导出表、字符串、调试符号
https://github.com/codypierce/hackers-grep
- hackers-grep - 用来搜索 PE 程序中的导入表、导出表、字符串、调试符号
-
- IDA Pro - Windows 反汇编和调试器,有免费评估版
https://www.hex-rays.com/products/ida/index.shtml
- IDA Pro - Windows 反汇编和调试器,有免费评估版
-
- Immunity Debugger - 带有 Python API 的恶意软件调试器
http://debugger.immunityinc.com/
- Immunity Debugger - 带有 Python API 的恶意软件调试器
-
- ltrace - Linux 可执行文件的动态分析
http://ltrace.org/
- ltrace - Linux 可执行文件的动态分析
-
- objdump - GNU 工具集的一部分,面向 Linux 二进制程序的静态分析
https://en.wikipedia.org/wiki/Objdump
- objdump - GNU 工具集的一部分,面向 Linux 二进制程序的静态分析
-
- OllyDbg - Windows 可执行程序汇编级调试器
http://www.ollydbg.de/
- OllyDbg - Windows 可执行程序汇编级调试器
-
- PANDA - 动态分析平台
https://github.com/moyix/panda
- PANDA - 动态分析平台
-
- PEDA - 基于 GDB 的 Pythton Exploit 开发辅助工具,增强显示及增强的命令
https://github.com/longld/peda
- PEDA - 基于 GDB 的 Pythton Exploit 开发辅助工具,增强显示及增强的命令
-
- pestudio - Windows 可执行程序的静态分析
https://winitor.com/
- pestudio - Windows 可执行程序的静态分析
-
- plasma - 面向 x86/ARM/MIPS 的交互式反汇编器
https://github.com/joelpx/plasma
- plasma - 面向 x86/ARM/MIPS 的交互式反汇编器
-
- PPEE (puppy) - 专业的 PE 文件资源管理器
https://www.mzrst.com/
- PPEE (puppy) - 专业的 PE 文件资源管理器
-
- Process Explorer - 高级 Windows 任务管理器
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
- Process Explorer - 高级 Windows 任务管理器
-
- Process Monitor - Windows 下高级程序监控工具
https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
- Process Monitor - Windows 下高级程序监控工具
-
- PSTools - 可以帮助管理员实时管理系统的 Windows 命令行工具
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
- PSTools - 可以帮助管理员实时管理系统的 Windows 命令行工具
-
- Pyew - 恶意软件分析的 Python 工具
https://github.com/joxeankoret/pyew
- Pyew - 恶意软件分析的 Python 工具
-
- Radare2 - 带有调试器支持的逆向工程框架
http://www.radare.org/r/
- Radare2 - 带有调试器支持的逆向工程框架
-
- RetDec - 可重定向的机器码反编译器,同时有在线反编译服务和 API
https://retdec.com/
- RetDec - 可重定向的机器码反编译器,同时有在线反编译服务和 API
-
- ROPMEMU - 分析、解析、反编译复杂的代码重用攻击的框架
https://github.com/vrtadmin/ROPMEMU
- ROPMEMU - 分析、解析、反编译复杂的代码重用攻击的框架
-
- SMRT - Sublime 3 中辅助恶意软件分析的插件
https://github.com/pidydx/SMRT
- SMRT - Sublime 3 中辅助恶意软件分析的插件
-
- strace - Linux 可执行文件的动态分析
http://sourceforge.net/projects/strace/
- strace - Linux 可执行文件的动态分析
-
- Triton - 一个动态二进制分析框架
http://triton.quarkslab.com/
- Triton - 一个动态二进制分析框架
-
- Udis86 - x86 和 x86_64 的反汇编库和工具
https://github.com/vmt/udis86
- Udis86 - x86 和 x86_64 的反汇编库和工具
-
- Vivisect - 恶意软件分析的 Python 工具
https://github.com/vivisect/vivisect
- Vivisect - 恶意软件分析的 Python 工具
-
- X64dbg - Windows 的一个开源 x64/x32 调试器
https://github.com/x64dbg/
- X64dbg - Windows 的一个开源 x64/x32 调试器
-
网络
-
- Bro - 支持惊人规模的文件和网络协议的协议分析工具
https://www.bro.org/
- Bro - 支持惊人规模的文件和网络协议的协议分析工具
-
- BroYara - 基于 Bro 的 Yara 规则集
https://github.com/hempnall/broyara
- BroYara - 基于 Bro 的 Yara 规则集
-
- CapTipper - 恶意 HTTP 流量管理器
https://github.com/omriher/CapTipper
- CapTipper - 恶意 HTTP 流量管理器
-
- chopshop - 协议分析和解码框架
https://github.com/MITRECND/chopshop
- chopshop - 协议分析和解码框架
-
- Fiddler - 专为 Web 调试开发的 Web 代理
http://www.telerik.com/fiddler
- Fiddler - 专为 Web 调试开发的 Web 代理
-
- Hale - 僵尸网络 C&C 监视器
https://github.com/pjlantz/Hale
- Hale - 僵尸网络 C&C 监视器
-
- INetSim - 网络服务模拟。建设一个恶意软件分析实验室十分有用
http://www.inetsim.org/
- INetSim - 网络服务模拟。建设一个恶意软件分析实验室十分有用
-
- Laika BOSS - Laika BOSS 是一种以文件为中心的恶意软件分析和入侵检测系统
https://github.com/lmco/laikaboss
- Laika BOSS - Laika BOSS 是一种以文件为中心的恶意软件分析和入侵检测系统
-
- Malcom - 恶意软件通信分析仪
https://github.com/tomchop/malcom
- Malcom - 恶意软件通信分析仪
-
- Maltrail - 一个恶意流量检测系统,利用公开的黑名单来检测恶意和可疑的通信流量,带有一个报告和分析界面
https://github.com/stamparm/maltrail
- Maltrail - 一个恶意流量检测系统,利用公开的黑名单来检测恶意和可疑的通信流量,带有一个报告和分析界面
-
- mitmproxy - 拦截网络流量通信
https://mitmproxy.org/
- mitmproxy - 拦截网络流量通信
-
- Moloch - IPv4 流量捕获,带有索引和数据库系统
https://github.com/aol/moloch
- Moloch - IPv4 流量捕获,带有索引和数据库系统
-
- NetworkMiner - 有免费版本的网络取证分析工具
http://www.netresec.com/?page=NetworkMiner
- NetworkMiner - 有免费版本的网络取证分析工具
-
- ngrep - 像 grep 一样收集网络流量
http://ngrep.sourceforge.net/
- ngrep - 像 grep 一样收集网络流量
-
- PcapViz - 网络拓扑与流量可视化
https://github.com/mateuszk87/PcapViz
- PcapViz - 网络拓扑与流量可视化
-
- Tcpdump - 收集网络流
http://www.tcpdump.org/
- Tcpdump - 收集网络流
-
- tcpick - 从网络流量中重构 TCP 流
http://tcpick.sourceforge.net/
- tcpick - 从网络流量中重构 TCP 流
-
- tcpxtract - 从网络流量中提取文件
http://tcpxtract.sourceforge.net/
- tcpxtract - 从网络流量中提取文件
-
- Wireshark - 网络流量分析工具
https://www.wireshark.org/
- Wireshark - 网络流量分析工具
-
内存取证
-
- 目前没有需要用到内存取证的需求
-
Windows 神器
-
- AChoir - 一个用来收集 Windows 实时事件响应脚本集
https://github.com/OMENScan/AChoir
- AChoir - 一个用来收集 Windows 实时事件响应脚本集
-
- python-evt - 用来解析 Windows 事件日志的 Python 库
https://github.com/williballenthin/python-evt
- python-evt - 用来解析 Windows 事件日志的 Python 库
-
- python-registry - 用于解析注册表文件的 Python 库
http://www.williballenthin.com/registry/
- python-registry - 用于解析注册表文件的 Python 库
-
- RegRipper (GitHub) - 基于插件集的工具
https://regripper.wordpress.com/
- RegRipper (GitHub) - 基于插件集的工具
-
存储和工作流
-
- 目前没有需要用到这类工具的需求
-
杂项
-
- 目前没有需要用到这类工具的需求
1.2 相关资源
-
书籍
基础恶意软件分析阅读书单 -
- Malware Analyst's Cookbook and DVD ->中文版本《恶意软件分析诀窍与工具箱》 打击恶意代码的工具和技术
-
- Practical Malware Analysis ->中文版本《恶意代码实战解析》 剖析恶意软件的手边书
-
-Practical Reverse Engineering ->中文版本 《逆向工程实战》 中级逆向工程
-
- Real Digital Forensics - 计算机安全与应急响应
-
- The Art of Memory Forensics - 在 Windows、Linux 和 Mac 系统的内存中检测恶意软件和威胁
-
- The IDA Pro Book -> 《IDA Pro权威指南(第2版)》 世界上最流行的反汇编器的非官方指南
-
- The Rootkit Arsenal -> 《Rootkit:系统灰色地带的潜伏者》 从反取证角度,深入、系统解读rootkit的本质和核心技术,以及如何构建属于自己的Rootkit武器,包含大量模块化示例
-
Twitter
-
- Adamb @Hexacorn
https://twitter.com/Hexacorn
- Adamb @Hexacorn
-
- Andrew Case @attrc
https://twitter.com/attrc
- Andrew Case @attrc
-
- Binni Shah @binitamshah
https://twitter.com/binitamshah
- Binni Shah @binitamshah
-
- Claudio @botherder
https://twitter.com/botherder
- Claudio @botherder
-
- Dustin Webber @mephux
https://twitter.com/mephux
- Dustin Webber @mephux
-
- Glenn @hiddenillusion
https://twitter.com/hiddenillusion
- Glenn @hiddenillusion
-
- jekil @jekil
https://twitter.com/jekil
- jekil @jekil
-
- Jurriaan Bremer @skier_t
https://twitter.com/skier_t
- Jurriaan Bremer @skier_t
-
- Lenny Zeltser @lennyzeltser
https://twitter.com/lennyzeltser
- Lenny Zeltser @lennyzeltser
-
- Liam Randall @hectaman
https://twitter.com/hectaman
- Liam Randall @hectaman
-
- Mark Schloesser @repmovsb
https://twitter.com/repmovsb
- Mark Schloesser @repmovsb
-
- Michael Ligh (MHL) @iMHLv2
https://twitter.com/iMHLv2
- Michael Ligh (MHL) @iMHLv2
-
- Monnappa @monnappa22
https://twitter.com/monnappa22
- Monnappa @monnappa22
-
- Open Malware @OpenMalware
https://twitter.com/OpenMalware
- Open Malware @OpenMalware
-
- Richard Bejtlich @taosecurity
https://twitter.com/taosecurity
- Richard Bejtlich @taosecurity
-
- Volatility @volatility
https://twitter.com/volatility
- Volatility @volatility
-
其他
-
- /r/Malware - 恶意软件的子版块
https://www.reddit.com/r/Malware
- /r/Malware - 恶意软件的子版块
-
- /r/ReverseEngineering - 逆向工程子版块,不仅限于恶意软件
https://www.reddit.com/r/ReverseEngineering
- /r/ReverseEngineering - 逆向工程子版块,不仅限于恶意软件
2 参考
-
1、GitHub 万星推荐:黑客成长技术清单
http://www.4hou.com/info/news/7061.html -
2、恶意软件分析大合集
https://github.com/rshipp/awesome-malware-analysis/blob/master/恶意软件分析大合集.md