超贊的惡意軟體分析

02-09

由於工作的需要開始接觸到惡意軟體的分析，於是在Github上發現這個超贊的項目，自己會做一些修改和補充，清單列舉了一些惡意軟體分析工具和資源。

超贊的惡意軟體分析

惡意軟體集合

匿名代理
蜜罐
惡意軟體樣本庫

開源威脅情報

工具
其他資源

檢測與分類
在線掃描與沙盒
域名分析
瀏覽器惡意軟體
文檔和 Shellcode
文件提取
去混淆
調試與逆向工程
網路
內存取證
Windows 神器
存儲和工作流
雜項

資源

書籍
Twitter
其它

相關 Awesome 清單
貢獻者
致謝

惡意軟體集合

匿名代理

對於分析人員的 Web 流量匿名方案

Anonymouse.org - 一個免費、基於 Web 的匿名代理
OpenVPN - VPN 軟體和託管解決方案
Privoxy - 一個帶有隱私保護功能的開源代理伺服器
Tor - 洋蔥路由器，為了在瀏覽網頁時不留下客戶端 IP 地址

蜜罐

捕獲和收集你自己的樣本

Conpot - ICS/SCADA 蜜罐
Cowrie - 基於 Kippo 的 SSH 蜜罐
Dionaea - 用來捕獲惡意軟體的蜜罐
Glastopf - Web 應用蜜罐
Honeyd - 創建一個虛擬蜜罐
HoneyDrive - 蜜罐包的 Linux 發行版
Mnemosyne - 受 Dinoaea 支持的蜜罐數據標準化
Thug - 用來調查惡意網站的低交互蜜罐

惡意軟體樣本庫

收集用於分析的惡意軟體樣本

Clean MX - 惡意軟體和惡意域名的實時資料庫
Contagio - 近期的惡意軟體樣本和分析的收集
Exploit Database - Exploit 和 shellcode 樣本
Malshare - 在惡意網站上得到的大量惡意樣本庫
MalwareDB - 惡意軟體樣本庫
Open Malware Project - 樣本信息和下載
Ragpicker - 基於 malware crawler 的一個插件
theZoo - 分析人員的實時惡意樣本庫
Tracker h3x - Agregator 的惡意軟體跟蹤和下載地址
ViruSign - 除 ClamAV 外的反病毒程序檢出的惡意軟體資料庫
VirusShare - 惡意軟體庫
VX Vault - 惡意軟體樣本的主動收集
Zeltsers Sources - 由 Lenny Zeltser 整理的惡意軟體樣本源列表
Zeus Source Code - 2011 年 Zeus 源碼泄露

開源威脅情報

工具

收集、分析 IOC 信息

AbuseHelper - 用於接收和重新分發威脅情報的開源框架
AlienVault Open Threat Exchange - 威脅情報的共享與合作
Combine - 從公開的信息源中得到威脅情報信息
Fileintel - 文件情報
Hostintel - 主機情報
IntelMQ - CERT 使用消息隊列來處理應急數據的工具
IOC Editor - Mandiant 出品的一個免費的 XML IOC 文件編輯器
ioc_writer - 開發的用於 OpenIOC 對象的 Python 庫
Massive Octo Spice - 由 CSIRT Gadgets Foundation發起，之前叫做 CIF (Collective Intelligence Framework)，從各種信息源聚合 IOC 信息
MISP - 由 The MISP Project 發起的惡意軟體信息共享平台
PassiveTotal - 研究、鏈接、標註和分享 IP 與域名
PyIOCe - 一個 Python OpenIOC 編輯器
threataggregator - 聚合來自多個信息源的安全威脅，包括 other resources 列表中的一些
ThreatCrowd - 帶有圖形可視化的威脅搜索引擎
TIQ-test - 威脅情報源的數據可視化和統計分析

其他資源

威脅情報和 IOC 資源

Autoshun (list) - Snort 插件和黑名單
Bambenek Consulting Feeds - 基於惡意 DGA 演算法的 OSINT 訂閱
Fidelis Barncat - 可擴展的惡意軟體配置資料庫（必須有請求許可權）
CI Army (list) - 網路安全黑名單
Critical Stack- Free Intel Market - 免費的英特爾去重聚合項目，有超過 90 種訂閱以及超過一百二十萬個威脅情報信息
CRDF ThreatCenter - 由 CRDF 提供的新威脅檢出
Cybercrime tracker - 多個殭屍網路的活動跟蹤
FireEye IOCs - 由 FireEye 共享的 IOC 信息
FireHOL IP Lists - 針對攻擊、惡意軟體的更改歷史、國家地圖和保留政策的 350+ IP 的跟蹤
hpfeeds - 蜜罐訂閱協議
Internet Storm Center (DShield) - 日誌和可搜索的事件資料庫，並且帶有 Web API(非官方 Python 庫).
malc0de - 搜索事件資料庫
Malware Domain List - 搜索和分享惡意軟體 URL
OpenIOC - 威脅情報共享框架
Palevo Blocklists - 蜜罐 C&C 黑名單
Proofpoint Threat Intelligence - 以前新興威脅的規則集
Ransomware overview - 勒索軟體的概述列表
STIX - Structured Threat Information eXpression - 通過標準化的語言來表示、共享網路威脅信息 MITRE 相關:

CAPEC - 常見攻擊模式枚舉與分類
CybOX - 網路觀測 eXpression
MAEC - 惡意軟體特徵枚舉與界定
TAXII - 可信的指標信息自動化交換

threatRECON - 搜索指標，每月最多一千次
Yara rules - Yara 規則集
ZeuS Tracker - ZeuS 黑名單

檢測與分類

反病毒和其他惡意軟體識別工具

AnalyzePE - Windows PE 文件的分析器
chkrootkit - 本地 Linux rootkit 檢測
ClamAV - 開源反病毒引擎
Detect-It-Easy - 用於確定文件類型的程序
ExifTool - 讀、寫、編輯文件的元數據
File Scanning Framework - 模塊化的遞歸文件掃描解決方案
hashdeep - 用各種演算法計算哈希值
Loki - 基於主機的 IOC 掃描器
Malfunction - 在功能層面對惡意軟體進行分類和比較
MASTIFF - 靜態分析框架
MultiScanner - 模塊化文件掃描/分析框架
nsrllookup - 查詢 NISTs National Software Reference Library 資料庫中哈希的工具
packerid - 跨平台的 PEiD 的替代品
PEV - 為正確分析可疑的二進位文件提供功能豐富工具的 PE 文件多平台分析工具集
Rootkit Hunter - 檢測 Linux 的 rootkits
ssdeep - 計算模糊哈希值
totalhash.py - 一個簡單搜索TotalHash.com 資料庫的 Python 腳本
TrID - 文件識別
YARA - 分析師利用的模式識別工具
Yara rules generator - 基於惡意樣本生成 yara 規則，也包含避免誤報的字元串資料庫

在線掃描與沙盒

基於 Web 的多反病毒引擎掃描器和惡意軟體自動分析的沙盒

APK Analyzer - APK 免費動態分析
AndroTotal - 利用多個移動反病毒軟體進行免費在線分析 App
AVCaesar - Malware.lu 在線掃描器和惡意軟體集合
Cryptam - 分析可疑的 Office 文檔
Cuckoo Sandbox - 開源、自主的沙盒和自動分析系統
cuckoo-modified - GPL 許可證的 Cuckoo 沙盒的修改版，由於法律原因作者沒有將其分支合併
cuckoo-modified-api - 用於控制 cuckoo-modified 沙盒的 Python API
DeepViz - 通過機器學習分類來分析的多格式文件分析器
detux - 一個用於對 Linux 惡意軟體流量分析與 IOC 信息捕獲的沙盒
Document Analyzer - DOC 和 PDF 文件的免費動態分析
DRAKVUF - 動態惡意軟體分析系統
File Analyzer - 免費 PE 文件動態分析
firmware.re - 解包、掃描、分析絕大多數固件包
Hybrid Analysis - 由 VxSandbox 支持的在線惡意軟體分析工具
IRMA - 非同步、可定製的可疑文件分析平台
Joe Sandbox - 深度惡意軟體分析
Jotti - 免費在線多反病毒引擎掃描器
Limon - 分析 Linux 惡意軟體的沙盒
Malheur - 惡意行為的自動化沙盒分析
Malware config - 從常見的惡意軟體提取、解碼和在線配置
Malwr - 免費的在線 Cuckoo 沙盒分析實例
MASTIFF Online - 在線惡意軟體靜態分析
Metadefender.com - 掃描文件、哈希或惡意軟體的 IP 地址
NetworkTotal - 一個分析 pcap 文件的服務，使用配置了 EmergingThreats Pro 的Suricata 快速檢測病毒、蠕蟲、木馬和各種惡意軟體
Noriben - 使用 Sysinternals Procmon 收集惡意軟體在沙盒環境下的進程信息
PDF Examiner - 收集可疑的 PDF 文件
ProcDot - 一個可視化惡意軟體分析工具集
Recomposer - 安全上傳二進位程序到沙盒網站的輔助腳本
Sand droid - 自動化、完整的 Android 應用程序分析系統
SEE - 在安全環境中構建測試自動化的框架
URL Analyzer - 對 URL 文件的動態分析
VirusTotal - 免費的在線惡意軟體樣本和 URL 分析
Visualize_Logs - 用於日誌的開源可視化庫和命令行工具（Cuckoo、Procmon 等）
Zeltsers List - Lenny Zeltser 創建的免費自動沙盒服務

域名分析

檢查域名和 IP 地址

Desenmascara.me - 一鍵點擊即可得到儘可能多的檢索元數據以評估一個網站的信譽度
Dig - 免費的在線 dig 以及其他網路工具
dnstwist - 用於檢測釣魚網站和公司間諜活動的域名排名網站
IPinfo - 通過搜索在線資源收集關於 IP 或域名的信息
Machinae - 類似 Automator 的 OSINT 工具，用於收集有關 URL、IP 或哈希的信息
mailchecker - 跨語言臨時郵件檢測庫
MaltegoVT - 讓 Maltego 使用 VirusTotal API，允許搜索域名、IP 地址、文件哈希、報告
Multi rbl - 多個 DNS 黑名單，反向查找超過 300 個 RBL。
SenderBase - 搜索 IP、域名或網路的所有者
SpamCop - 垃圾郵件 IP 黑名單IP
SpamHaus - 基於域名和 IP 的黑名單
Sucuri SiteCheck - 免費的網站惡意軟體與安全掃描器
TekDefense Automator - 收集關於 URL、IP 和哈希值的 OSINT 工具
URLQuery - 免費的 URL 掃描器
Whois - DomainTools 家免費的 whois 搜索
Zeltsers List - 由 Lenny Zeltser 整理的免費在線惡意軟體工具集
ZScalar Zulu - Zulu URL 風險分析

瀏覽器惡意軟體

分析惡意 URL，也可以參考 domain analysis 和 documents and shellcode 部分

Firebug - Firefox Web 開發擴展
Java Decompiler - 反編譯並檢查 Java 的應用
Java IDX Parser - 解析 Java IDX 緩存文件
JSDetox - JavaScript 惡意軟體分析工具
jsunpack-n - 一個 javascript 解壓軟體，可以模擬瀏覽器功能
Krakatau - Java 的反編譯器、彙編器與反彙編器
Malzilla - 分析惡意 Web 頁面
RABCDAsm - 一個健壯的 ActionScript 位元組碼反彙編
swftools - PDF 轉換成 SWF 的工具
xxxswf - 分析 Flash 文件的 Python 腳本

文檔和 Shellcode

在 PDF、Office 文檔中分析惡意 JS 和 Shellcode，也可參考browser malware 部分

AnalyzePDF - 分析 PDF 並嘗試判斷其是否是惡意文件的工具
box-js - 用於研究 JavaScript 惡意軟體的工具，支持 JScript/WScript 和 ActiveX 模擬功能
diStorm - 分析惡意 Shellcode 的反彙編器
JS Beautifier - JavaScript 脫殼和去混淆
JS Deobfuscator - 對那些使用 eval 或 document.write 的簡單 Javascript 去混淆
libemu - x86 shellcode 模擬的庫和工具
malpdfobj - 解構惡意 PDF 為 JSON 表示
OfficeMalScanner - 掃描 MS Office 文檔中的惡意跟蹤
olevba - 解析 OLE 和 OpenXML 文檔，並提取有用信息的腳本
Origami PDF - 一個分析惡意 PDF 的工具
PDF Tools - Didier Stevens 開發的許多關於 PDF 的工具
PDF X-Ray Lite - PDF 分析工具，PDF X-RAY 的無後端版本
peepdf - 用來探索可能是惡意的 PDF 的 Python 工具
QuickSand - QuickSand 是一個緊湊的 C 框架，用於分析可疑的惡意軟體文檔，以識別不同編碼流中的漏洞，並定位和提取嵌入的可執行文件
Spidermonkey - Mozilla 的 JavaScript 引擎，用來調試可疑 JS 代碼

文件提取

從硬碟和內存鏡像中提取文件

bulk_extractor - 快速文件提取工具
EVTXtract - 從原始二進位數據提取 Windows 事件日誌文件
Foremost - 由 US Air Force 設計的文件提取工具
Hachoir - 處理二進位程序的 Python 庫的集合
Scalpel - 另一個數據提取工具

去混淆

破解異或或其它代碼混淆方法

Balbuzard - 去除混淆(XOR、ROL等)的惡意軟體分析工具
de4dot - .NET 去混淆與脫殼
ex_pe_xor 和 iheartxor - Alexander Hanel 開發的用於去除單位元組異或編碼的文件的兩個工具
FLOSS - FireEye 實驗室的混淆字元串求解工具，使用高級靜態分析技術來自動去除惡意軟體二進位文件中的字元串
NoMoreXOR - 通過頻率分析來猜測一個 256 位元組的異或密鑰
PackerAttacker - Windows 惡意軟體的通用隱藏代碼提取程序
unpacker - 基於 WinAppDbg 的自動 Windows 惡意軟體脫殼器
unxor - 通過已知明文攻擊來猜測一個異或密鑰
VirtualDeobfuscator - 虛擬逆向分析工具
XORBruteForcer - 爆破單位元組異或密鑰的 Python 腳本
XORSearch 和 XORStrings - Didier Stevens 開發的用於尋找異或混淆後數據的兩個工具
xortool - 猜測異或密鑰和密鑰的長度

調試和逆向工程

反編譯器、調試器和其他靜態、動態分析工具

angr - UCSB 的安全實驗室開發的跨平台二進位分析框架
bamfdetect - 識別和提取奇蹟人和其他惡意軟體的信息
BAP - CMU 的安全實驗室開發的跨平台開源二進位分析框架
BARF - 跨平台、開源二進位分析逆向框架
binnavi - 基於圖形可視化的二進位分析 IDE
Binwalk - 固件分析工具
Bokken - Pyew 和 Radare 的界面版
Capstone - 二進位分析反彙編框架，支持多種架構和許多語言
codebro - 使用 clang 提供基礎代碼分析的 Web 端代碼瀏覽器
dnSpy - .NET 編輯器、編譯器、調試器
Evans Debugger (EDB) - Qt GUI 程序的模塊化調試器
Fibratus - 探索、跟蹤 Windows 內核的工具
FPort - 實時查看系統中打開的 TCP/IP 和 UDP 埠，並映射到應用程序
GDB - GNU 調試器
GEF - 針對開發人員和逆向工程師的 GDB 增強版
hackers-grep - 用來搜索 PE 程序中的導入表、導出表、字元串、調試符號
IDA Pro - Windows 反彙編和調試器，有免費評估版
Immunity Debugger - 帶有 Python API 的惡意軟體調試器
ltrace - Linux 可執行文件的動態分析
objdump - GNU 工具集的一部分，面向 Linux 二進位程序的靜態分析
OllyDbg - Windows 可執行程序彙編級調試器
PANDA - 動態分析平台
PEDA - 基於 GDB 的 Pythton Exploit 開發輔助工具，增強顯示及增強的命令
pestudio - Windows 可執行程序的靜態分析
plasma - 面向 x86/ARM/MIPS 的互動式反彙編器
PPEE (puppy) - 專業的 PE 文件資源管理器
Process Explorer - 高級 Windows 任務管理器
Process Monitor - Windows 下高級程序監控工具
PSTools - 可以幫助管理員實時管理系統的 Windows 命令行工具
Pyew - 惡意軟體分析的 Python 工具
Radare2 - 帶有調試器支持的逆向工程框架
RetDec - 可重定向的機器碼反編譯器，同時有在線反編譯服務和 API
ROPMEMU - 分析、解析、反編譯複雜的代碼重用攻擊的框架
SMRT - Sublime 3 中輔助惡意軟體分析的插件
strace - Linux 可執行文件的動態分析
Triton - 一個動態二進位分析框架
Udis86 - x86 和 x86_64 的反彙編庫和工具
Vivisect - 惡意軟體分析的 Python 工具
X64dbg - Windows 的一個開源 x64/x32 調試器

網路

分析網路交互

Bro - 支持驚人規模的文件和網路協議的協議分析工具
BroYara - 基於 Bro 的 Yara 規則集
CapTipper - 惡意 HTTP 流量管理器
chopshop - 協議分析和解碼框架
Fiddler - 專為 Web 調試開發的 Web 代理
Hale - 殭屍網路 C&C 監視器
Haka - 一個安全導向的開源語言，用於在實時流量捕獲時描述協議、應用安全策略
INetSim - 網路服務模擬。建設一個惡意軟體分析實驗室十分有用
Laika BOSS - Laika BOSS 是一種以文件為中心的惡意軟體分析和入侵檢測系統
Malcom - 惡意軟體通信分析儀
Maltrail - 一個惡意流量檢測系統，利用公開的黑名單來檢測惡意和可疑的通信流量，帶有一個報告和分析界面
mitmproxy - 攔截網路流量通信
Moloch - IPv4 流量捕獲，帶有索引和資料庫系統
NetworkMiner - 有免費版本的網路取證分析工具
ngrep - 像 grep 一樣收集網路流量
PcapViz - 網路拓撲與流量可視化
Tcpdump - 收集網路流
tcpick - 從網路流量中重構 TCP 流
tcpxtract - 從網路流量中提取文件
Wireshark - 網路流量分析工具

內存取證

在內存映像或正在運行的系統中分析惡意軟體的工具

BlackLight - 支持 hiberfil、pagefile 與原始內存分析的 Windows / MacOS 取證客戶端
DAMM - 基於 Volatility 的內存中惡意軟體的差異分析
evolve - 用於 Volatility Memory 取證框架的 Web 界面
FindAES - 在內存中尋找 AES 加密密鑰
Muninn - 一個使用 Volatility 的自動化分析腳本，可以生成一份可讀報告
Rekall - 內存分析框架，2013 年 Volatility 的分支版本
TotalRecall - 基於 Volatility 自動執行多惡意樣本分析任務的腳本
VolDiff - 在惡意軟體執行前後，在內存映像中運行 Volatility 並生成對比報告
Volatility - 先進的內存取證框架
VolUtility - Volatility 內存分析框架的 Web 介面
WinDbg - Windows 系統的實時內存檢查和內核調試工具

Windows平台神器

AChoir - 一個用來收集 Windows 實時事件響應腳本集
python-evt - 用來解析 Windows 事件日誌的 Python 庫
python-registry - 用於解析註冊表文件的 Python 庫
RegRipper (GitHub) - 基於插件集的工具

存儲和工作流

Aleph - 開源惡意軟體分析管道系統
CRITs - 關於威脅、惡意軟體的合作研究
Malwarehouse - 存儲、標註與搜索惡意軟體
Polichombr - 一個惡意軟體分析平台，旨在幫助分析師逆向惡意軟體。
stoQ - 分散式內容分析框架，具有廣泛的插件支持
Viper - 分析人員的二進位管理和分析框架

雜項

al-khaser - 一個旨在突出反惡意軟體系統的 PoC 惡意軟體
Binarly - 海量惡意軟體位元組的搜索引擎
DC3-MWCP - 反網路犯罪中心的惡意軟體配置解析框架
MalSploitBase - 包含惡意軟體利用的漏洞的資料庫
Malware Museum - 收集 20 世紀八九十年代流行的惡意軟體
Pafish - Paranoid Fish，與惡意軟體家族的行為一致，採用多種技術來檢測沙盒和分析環境的演示工具
REMnux - 面向惡意軟體逆向工程師和分析人員的 Linux 發行版和 Docker 鏡像
Santoku Linux - 移動取證的 Linux 發行版

資源

書籍

基礎惡意軟體分析閱讀書單

Malware Analysts Cookbook and DVD - 打擊惡意代碼的工具和技術
Practical Malware Analysis - 剖析惡意軟體的手邊書
Real Digital Forensics - 計算機安全與應急響應
The Art of Memory Forensics - 在 Windows、Linux 和 Mac 系統的內存中檢測惡意軟體和威脅
The IDA Pro Book - 世界上最流行的反彙編器的非官方指南
Real Digital Forensics - 用於移動取證、惡意軟體分析的 Linux 發行版

Twitter

一些相關的 Twitter 賬戶

Adamb @Hexacorn
Andrew Case @attrc
Binni Shah @binitamshah
Claudio @botherder
Dustin Webber @mephux
Glenn @hiddenillusion
jekil @jekil
Jurriaan Bremer @skier_t
Lenny Zeltser @lennyzeltser
Liam Randall @hectaman
Mark Schloesser @repmovsb
Michael Ligh (MHL) @iMHLv2
Monnappa @monnappa22
Open Malware @OpenMalware
Richard Bejtlich @taosecurity
Volatility @volatility

其它

APT Notes - 一個收集 APT 相關文獻的合輯
File Formats posters - 常用文件格式的可視化（包括 PE 與 ELF）
Honeynet Project - 蜜罐工具、論文和其他資源
Kernel Mode - 一個致力於惡意軟體分析和內核開發的活躍社區
Malicious Software - Lenny Zeltser 的惡意軟體博客和資源
Malware Analysis Search - Corey Harrell 自定義的用於惡意軟體分析的 Google 搜索
Malware Analysis Tutorials - 由 Xiang Fu 博士提供的惡意軟體分析教程，是一個學習惡意軟體分析的重要資源
Malware Samples and Traffic - 此博客重點介紹與惡意軟體感染相關的網路流量
Practical Malware Analysis Starter Kit - 此軟體包包含 Practical Malware Analysis 書中引用的大多數軟體
WindowsIR: Malware - Harlan Carvey 的惡意軟體頁面
csirt_tools - CSIRT 工具和資源的子版塊，講惡意軟體分析的天才
Malware - 惡意軟體的子版塊
ReverseEngineering - 逆向工程子版塊，不僅限於惡意軟體

貢獻

歡迎提出問題或者 Pull requests！請在提交 Pull request 之前閱讀 CONTRIBUTING。

致謝

這個列表需要感謝如下一些人:

Lenny Zeltser 和 REMnux 的其他開發者貢獻了這個列表中很多工具
Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 著有 Malware Analysts Cookbook，這本書為這個列表的創建提供了很大的靈感
每一個提交 Pull request 以及提出建議的人

十分感謝!