在全球中國(guó)是受惡意軟件影響比較大的國(guó)家之一。根據(jù)相關(guān)報(bào)告顯示，亞太地區(qū)是受到僵尸網(wǎng)絡(luò)影響最大的地區(qū)，同時(shí)受到勒索、欺詐等惡意軟件的影響也特別靠前;根據(jù)2016年360互聯(lián)網(wǎng)安全中心監(jiān)測(cè)的報(bào)告顯示，在2016年用戶手動(dòng)放行惡意軟件500余萬(wàn)次，涉及惡意軟件樣本3萬(wàn)余個(gè)，平均每個(gè)此類惡意軟件樣本可以成功攻擊160余臺(tái)普通個(gè)人電腦。

　　▲

　　▲

雖然由于免費(fèi)安全軟件在中國(guó)的高度普及，惡意軟件的編寫(xiě)、制作門檻越來(lái)越高，惡意軟件的傳播也變得越來(lái)越困難。但“安全像彈簧，你弱它就強(qiáng)”。同時(shí)隨著國(guó)家對(duì)安全政策的傾斜，我國(guó)也迎來(lái)了信息安全、網(wǎng)絡(luò)安全的高速發(fā)展，有越來(lái)過(guò)多的IT從業(yè)者參與其中。

來(lái)自Github的開(kāi)發(fā)貢獻(xiàn)者rshipp，在其存儲(chǔ)庫(kù)中發(fā)表了《惡意軟件分析大合集》，貼心的rshipp在2017年1月將這一系列同步了中文版，IT168小編度娘了一下，國(guó)內(nèi)還沒(méi)有這個(gè)合集的內(nèi)容，特此放出以饗讀者。該合集是小編目前看到最全的針對(duì)惡意軟件分析的內(nèi)容，朋友們一定要收藏。

▲首先要感謝@rshipp的無(wú)私奉獻(xiàn)和貼心的中文版譯文。而且該系列還在持續(xù)更新中，朋友們可移駕https://github.com/rshipp/awesome-malware-analysis持續(xù)關(guān)注。

　　▲《惡意軟件分析大合集》目錄

《惡意軟件分析大合集》分析全文：

惡意軟件集合

匿名代理

對(duì)于分析人員的Web流量匿名方案

Anonymouse.org - 一個(gè)免費(fèi)、基于Web的匿名代理

OpenVPN - VPN 軟件和托管解決方案

Privoxy - 一個(gè)帶有隱私保護(hù)功能的開(kāi)源代理服務(wù)器

Tor - 洋蔥路由器，為了在瀏覽網(wǎng)頁(yè)時(shí)不留下客戶端IP地址

蜜罐

捕獲和收集你自己的樣本

Conpot - ICS/SCADA 蜜罐

Cowrie - 基于 Kippo 的 SSH 蜜罐

Dionaea - 用來(lái)捕獲惡意軟件的蜜罐

Glastopf - Web 應(yīng)用蜜罐

Honeyd - 創(chuàng)建一個(gè)虛擬蜜罐

HoneyDrive - 蜜罐包的 Linux 發(fā)行版

Mnemosyne - 受 Dinoaea 支持的蜜罐數(shù)據(jù)標(biāo)準(zhǔn)化

Thug - 用來(lái)調(diào)查惡意網(wǎng)站的低交互蜜罐

惡意軟件樣本庫(kù)

收集用于分析的惡意軟件樣本

Clean MX - 惡意軟件和惡意域名的實(shí)時(shí)數(shù)據(jù)庫(kù)

Contagio - 近期的惡意軟件樣本和分析的收集

Exploit Database - Exploit 和 shellcode 樣本

Malshare - 在惡意網(wǎng)站上得到的大量惡意樣本庫(kù)

MalwareDB - 惡意軟件樣本庫(kù)

Open Malware Project - 樣本信息和下載

Ragpicker - 基于 malware crawler 的一個(gè)插件

theZoo - 分析人員的實(shí)時(shí)惡意樣本庫(kù)

Tracker h3x - Agregator 的惡意軟件跟蹤和下載地址

ViruSign - 除 ClamAV 外的反病毒程序檢出的惡意軟件數(shù)據(jù)庫(kù)

VirusShare - 惡意軟件庫(kù)

VX Vault - 惡意軟件樣本的主動(dòng)收集

Zeltser's Sources - 由 Lenny Zeltser 整理的惡意軟件樣本源列表

Zeus Source Code - 2011 年 Zeus 源碼泄露

開(kāi)源威脅情報(bào)

工具

收集、分析 IOC 信息

AbuseHelper - 用于接收和重新分發(fā)威脅情報(bào)的開(kāi)源框架

AlienVault Open Threat Exchange - 威脅情報(bào)的共享與合作

Combine - 從公開(kāi)的信息源中得到威脅情報(bào)信息

Fileintel - 文件情報(bào)

Hostintel - 主機(jī)情報(bào)

IntelMQ - CERT 使用消息隊(duì)列來(lái)處理應(yīng)急數(shù)據(jù)的工具

IOC Editor - Mandiant 出品的一個(gè)免費(fèi)的 XML IOC 文件編輯器

ioc_writer - 開(kāi)發(fā)的用于 OpenIOC 對(duì)象的 Python 庫(kù)

Massive Octo Spice - 由 CSIRT Gadgets Foundation發(fā)起，之前叫做 CIF (Collective Intelligence Framework)，從各種信息源聚合 IOC 信息

MISP - 由 The MISP Project 發(fā)起的惡意軟件信息共享平臺(tái)

PassiveTotal - 研究、鏈接、標(biāo)注和分享 IP 與 域名

PyIOCe - 一個(gè) Python OpenIOC 編輯器

threataggregator - 聚合來(lái)自多個(gè)信息源的安全威脅，包括 other resources 列表中的一些

ThreatCrowd - 帶有圖形可視化的威脅搜索引擎

TIQ-test - 威脅情報(bào)源的數(shù)據(jù)可視化和統(tǒng)計(jì)分析

其他資源

威脅情報(bào)和 IOC 資源

Autoshun (list) - Snort 插件和黑名單

Bambenek Consulting Feeds - 基于惡意 DGA 算法的 OSINT 訂閱

Fidelis Barncat - 可擴(kuò)展的惡意軟件配置數(shù)據(jù)庫(kù)(必須有請(qǐng)求權(quán)限)

CI Army (list) - 網(wǎng)絡(luò)安全黑名單

Critical Stack- Free Intel Market - 免費(fèi)的英特爾去重聚合項(xiàng)目，有超過(guò) 90 種訂閱以及超過(guò)一百二十萬(wàn)個(gè)威脅情報(bào)信息

CRDF ThreatCenter - 由 CRDF 提供的新威脅檢出

Cybercrime tracker - 多個(gè)僵尸網(wǎng)絡(luò)的活動(dòng)跟蹤

FireEye IOCs - 由 FireEye 共享的 IOC 信息

FireHOL IP Lists - 針對(duì)攻擊、惡意軟件的更改歷史、國(guó)家地圖和保留政策的 350+ IP 的跟蹤

hpfeeds - 蜜罐訂閱協(xié)議

Internet Storm Center (DShield) - 日志和可搜索的事件數(shù)據(jù)庫(kù)，并且?guī)в?Web API(非官方 Python 庫(kù)).

malc0de - 搜索事件數(shù)據(jù)庫(kù)

Malware Domain List - 搜索和分享惡意軟件 URL

OpenIOC - 威脅情報(bào)共享框架

Palevo Blocklists - 蜜罐 C&C 黑名單

Proofpoint Threat Intelligence - 以前新興威脅的規(guī)則集

Ransomware overview - 勒索軟件的概述列表

STIX - Structured Threat Information eXpression - 通過(guò)標(biāo)準(zhǔn)化的語(yǔ)言來(lái)表示、共享網(wǎng)絡(luò)威脅信息 MITRE 相關(guān):

CAPEC - 常見(jiàn)攻擊模式枚舉與分類

CybOX - 網(wǎng)絡(luò)觀測(cè) eXpression

MAEC - 惡意軟件特征枚舉與界定

TAXII - 可信的指標(biāo)信息自動(dòng)化交換

threatRECON - 搜索指標(biāo)，每月最多一千次

Yara rules - Yara 規(guī)則集

ZeuS Tracker - ZeuS 黑名單

檢測(cè)與分類

反病毒和其他惡意軟件識(shí)別工具

AnalyzePE - Windows PE 文件的分析器

chkrootkit - 本地 Linux rootkit 檢測(cè)

ClamAV - 開(kāi)源反病毒引擎

Detect-It-Easy - 用于確定文件類型的程序

ExifTool - 讀、寫(xiě)、編輯文件的元數(shù)據(jù)

File Scanning Framework - 模塊化的遞歸文件掃描解決方案

hashdeep - 用各種算法計(jì)算哈希值

Loki - 基于主機(jī)的 IOC 掃描器

Malfunction - 在功能層面對(duì)惡意軟件進(jìn)行分類和比較

MASTIFF - 靜態(tài)分析框架

MultiScanner - 模塊化文件掃描/分析框架

nsrllookup - 查詢 NIST's National Software Reference Library 數(shù)據(jù)庫(kù)中哈希的工具

packerid - 跨平臺(tái)的 PEiD 的替代品

PEV - 為正確分析可疑的二進(jìn)制文件提供功能豐富工具的 PE 文件多平臺(tái)分析工具集

Rootkit Hunter - 檢測(cè) Linux 的 rootkits

ssdeep - 計(jì)算模糊哈希值

totalhash.py - 一個(gè)簡(jiǎn)單搜索TotalHash.com 數(shù)據(jù)庫(kù)的 Python 腳本

TrID - 文件識(shí)別

YARA - 分析師利用的模式識(shí)別工具

Yara rules generator - 基于惡意樣本生成 yara 規(guī)則，也包含避免誤報(bào)的字符串?dāng)?shù)據(jù)庫(kù)

在線掃描與沙盒

基于 Web 的多反病毒引擎掃描器和惡意軟件自動(dòng)分析的沙盒

APK Analyzer - APK 免費(fèi)動(dòng)態(tài)分析

AndroTotal - 利用多個(gè)移動(dòng)反病毒軟件進(jìn)行免費(fèi)在線分析 App

AVCaesar - Malware.lu 在線掃描器和惡意軟件集合

Cryptam - 分析可疑的 Office 文檔

Cuckoo Sandbox - 開(kāi)源、自主的沙盒和自動(dòng)分析系統(tǒng)

cuckoo-modified - GPL 許可證的 Cuckoo 沙盒的修改版，由于法律原因作者沒(méi)有將其分支合并

cuckoo-modified-api - 用于控制 cuckoo-modified 沙盒的 Python API

DeepViz - 通過(guò)機(jī)器學(xué)習(xí)分類來(lái)分析的多格式文件分析器

detux - 一個(gè)用于對(duì) Linux 惡意軟件流量分析與 IOC 信息捕獲的沙盒

Document Analyzer - DOC 和 PDF 文件的免費(fèi)動(dòng)態(tài)分析

DRAKVUF - 動(dòng)態(tài)惡意軟件分析系統(tǒng)

File Analyzer - 免費(fèi) PE 文件動(dòng)態(tài)分析

firmware.re - 解包、掃描、分析絕大多數(shù)固件包

Hybrid Analysis - 由 VxSandbox 支持的在線惡意軟件分析工具

IRMA - 異步、可定制的可疑文件分析平臺(tái)

Joe Sandbox - 深度惡意軟件分析

Jotti - 免費(fèi)在線多反病毒引擎掃描器

Limon - 分析 Linux 惡意軟件的沙盒

Malheur - 惡意行為的自動(dòng)化沙盒分析

Malware config - 從常見(jiàn)的惡意軟件提取、解碼和在線配置

Malwr - 免費(fèi)的在線 Cuckoo 沙盒分析實(shí)例

MASTIFF Online - 在線惡意軟件靜態(tài)分析

Metadefender.com - 掃描文件、哈希或惡意軟件的 IP 地址

NetworkTotal - 一個(gè)分析 pcap 文件的服務(wù)，使用配置了 EmergingThreats Pro 的Suricata 快速檢測(cè)病毒、蠕蟲(chóng)、木馬和各種惡意軟件

Noriben - 使用 Sysinternals Procmon 收集惡意軟件在沙盒環(huán)境下的進(jìn)程信息

PDF Examiner - 收集可疑的 PDF 文件

ProcDot - 一個(gè)可視化惡意軟件分析工具集

Recomposer - 安全上傳二進(jìn)制程序到沙盒網(wǎng)站的輔助腳本

Sand droid - 自動(dòng)化、完整的 Android 應(yīng)用程序分析系統(tǒng)

SEE - 在安全環(huán)境中構(gòu)建測(cè)試自動(dòng)化的框架

URL Analyzer - 對(duì) URL 文件的動(dòng)態(tài)分析

VirusTotal - 免費(fèi)的在線惡意軟件樣本和 URL 分析

Visualize_Logs - 用于日志的開(kāi)源可視化庫(kù)和命令行工具(Cuckoo、Procmon 等)

Zeltser's List - Lenny Zeltser 創(chuàng)建的免費(fèi)自動(dòng)沙盒服務(wù)

域名分析

檢查域名和IP地址

Desenmascara.me - 一鍵點(diǎn)擊即可得到盡可能多的檢索元數(shù)據(jù)以評(píng)估一個(gè)網(wǎng)站的信譽(yù)度

Dig - 免費(fèi)的在線 dig 以及其他網(wǎng)絡(luò)工具

dnstwist - 用于檢測(cè)釣魚(yú)網(wǎng)站和公司間諜活動(dòng)的域名排名網(wǎng)站

IPinfo - 通過(guò)搜索在線資源收集關(guān)于 IP 或 域名的信息

Machinae - 類似 Automator 的 OSINT 工具，用于收集有關(guān) URL、IP 或哈希的信息

mailchecker - 跨語(yǔ)言臨時(shí)郵件檢測(cè)庫(kù)

MaltegoVT - 讓 Maltego 使用 VirusTotal API，允許搜索域名、IP 地址、文件哈希、報(bào)告

Multi rbl - 多個(gè) DNS 黑名單，反向查找超過(guò) 300 個(gè) RBL。

SenderBase - 搜索 IP、域名或網(wǎng)絡(luò)的所有者

SpamCop - 垃圾郵件 IP 黑名單IP

SpamHaus - 基于域名和 IP 的黑名單

Sucuri SiteCheck - 免費(fèi)的網(wǎng)站惡意軟件與安全掃描器

TekDefense Automator - 收集關(guān)于 URL、IP 和哈希值的 OSINT 工具

URLQuery - 免費(fèi)的 URL 掃描器

Whois - DomainTools 家免費(fèi)的 whois 搜索

Zeltser's List - 由 Lenny Zeltser 整理的免費(fèi)在線惡意軟件工具集

ZScalar Zulu - Zulu URL 風(fēng)險(xiǎn)分析

瀏覽器惡意軟件

分析惡意URL

Firebug - Firefox Web 開(kāi)發(fā)擴(kuò)展

Java Decompiler - 反編譯并檢查 Java 的應(yīng)用

Java IDX Parser - 解析 Java IDX 緩存文件

JSDetox - JavaScript 惡意軟件分析工具

jsunpack-n - 一個(gè) javascript 解壓軟件，可以模擬瀏覽器功能

Krakatau - Java 的反編譯器、匯編器與反匯編器

Malzilla - 分析惡意 Web 頁(yè)面

RABCDAsm - 一個(gè)健壯的 ActionScript 字節(jié)碼反匯編

swftools - PDF 轉(zhuǎn)換成 SWF 的工具

xxxswf - 分析 Flash 文件的 Python 腳本

文檔和 Shellcode

在 PDF、Office 文檔中分析惡意 JS 和 Shellcode

AnalyzePDF - 分析 PDF 并嘗試判斷其是否是惡意文件的工具

box-js - 用于研究 JavaScript 惡意軟件的工具，支持 JScript/WScript 和 ActiveX 仿真功能

diStorm - 分析惡意 Shellcode 的反匯編器

JS Beautifier - JavaScript 脫殼和去混淆

JS Deobfuscator - 對(duì)那些使用 eval 或 document.write 的簡(jiǎn)單 Javascript 去混淆

libemu - x86 shellcode 仿真的庫(kù)和工具

malpdfobj - 解構(gòu)惡意 PDF 為 JSON 表示

OfficeMalScanner - 掃描 MS Office 文檔中的惡意跟蹤

olevba - 解析 OLE 和 OpenXML 文檔，并提取有用信息的腳本

Origami PDF - 一個(gè)分析惡意 PDF 的工具

PDF Tools - Didier Stevens 開(kāi)發(fā)的許多關(guān)于 PDF 的工具

PDF X-Ray Lite - PDF 分析工具，PDF X-RAY 的無(wú)后端版本

peepdf - 用來(lái)探索可能是惡意的 PDF 的 Python 工具

QuickSand - QuickSand 是一個(gè)緊湊的 C 框架，用于分析可疑的惡意軟件文檔，以識(shí)別不同編碼流中的漏洞，并定位和提取嵌入的可執(zhí)行文件

Spidermonkey - Mozilla 的 JavaScript 引擎，用來(lái)調(diào)試可疑 JS 代碼

文件提取

從硬盤(pán)和內(nèi)存鏡像中提取文件

bulk_extractor - 快速文件提取工具

EVTXtract - 從原始二進(jìn)制數(shù)據(jù)提取 Windows 事件日志文件

Foremost - 由 US Air Force 設(shè)計(jì)的文件提取工具

Hachoir - 處理二進(jìn)制程序的 Python 庫(kù)的集合

Scalpel - 另一個(gè)數(shù)據(jù)提取工具

去混淆

破解異或或其它代碼混淆方法

Balbuzard - 去除混淆(XOR、ROL等)的惡意軟件分析工具

de4dot - .NET 去混淆與脫殼

ex_pe_xor 和 iheartxor - Alexander Hanel 開(kāi)發(fā)的用于去除單字節(jié)異或編碼的文件的兩個(gè)工具

FLOSS - FireEye 實(shí)驗(yàn)室的混淆字符串求解工具，使用高級(jí)靜態(tài)分析技術(shù)來(lái)自動(dòng)去除惡意軟件二進(jìn)制文件中的字符串

NoMoreXOR - 通過(guò)頻率分析來(lái)猜測(cè)一個(gè) 256 字節(jié)的異或密鑰

PackerAttacker - Windows 惡意軟件的通用隱藏代碼提取程序

unpacker - 基于 WinAppDbg 的自動(dòng) Windows 惡意軟件脫殼器

unxor - 通過(guò)已知明文攻擊來(lái)猜測(cè)一個(gè)異或密鑰

VirtualDeobfuscator - 虛擬逆向分析工具

XORBruteForcer - 爆破單字節(jié)異或密鑰的 Python 腳本

XORSearch 和 XORStrings - Didier Stevens 開(kāi)發(fā)的用于尋找異或混淆后數(shù)據(jù)的兩個(gè)工具

xortool - 猜測(cè)異或密鑰和密鑰的長(zhǎng)度

調(diào)試和逆向工程

反編譯器、調(diào)試器和其他靜態(tài)、動(dòng)態(tài)分析工具

angr - UCSB 的安全實(shí)驗(yàn)室開(kāi)發(fā)的跨平臺(tái)二進(jìn)制分析框架

bamfdetect - 識(shí)別和提取奇跡人和其他惡意軟件的信息

BAP - CMU 的安全實(shí)驗(yàn)室開(kāi)發(fā)的跨平臺(tái)開(kāi)源二進(jìn)制分析框架

BARF - 跨平臺(tái)、開(kāi)源二進(jìn)制分析逆向框架

binnavi - 基于圖形可視化的二進(jìn)制分析 IDE

Binwalk - 固件分析工具

Bokken - Pyew 和 Radare 的界面版

Capstone - 二進(jìn)制分析反匯編框架，支持多種架構(gòu)和許多語(yǔ)言

codebro - 使用 clang 提供基礎(chǔ)代碼分析的 Web 端代碼瀏覽器

dnSpy - .NET 編輯器、編譯器、調(diào)試器

Evan's Debugger (EDB) - Qt GUI 程序的模塊化調(diào)試器

Fibratus - 探索、跟蹤 Windows 內(nèi)核的工具

FPort - 實(shí)時(shí)查看系統(tǒng)中打開(kāi)的 TCP/IP 和 UDP 端口，并映射到應(yīng)用程序

GDB - GNU 調(diào)試器

GEF - 針對(duì)開(kāi)發(fā)人員和逆向工程師的 GDB 增強(qiáng)版

hackers-grep - 用來(lái)搜索 PE 程序中的導(dǎo)入表、導(dǎo)出表、字符串、調(diào)試符號(hào)

IDA Pro - Windows 反匯編和調(diào)試器，有免費(fèi)評(píng)估版

Immunity Debugger - 帶有 Python API 的惡意軟件調(diào)試器

ltrace - Linux 可執(zhí)行文件的動(dòng)態(tài)分析

objdump - GNU 工具集的一部分，面向 Linux 二進(jìn)制程序的靜態(tài)分析

OllyDbg - Windows 可執(zhí)行程序匯編級(jí)調(diào)試器

PANDA - 動(dòng)態(tài)分析平臺(tái)

PEDA - 基于 GDB 的 Pythton Exploit 開(kāi)發(fā)輔助工具，增強(qiáng)顯示及增強(qiáng)的命令

pestudio - Windows 可執(zhí)行程序的靜態(tài)分析

plasma - 面向 x86/ARM/MIPS 的交互式反匯編器

PPEE (puppy) - 專業(yè)的 PE 文件資源管理器

Process Explorer - 高級(jí) Windows 任務(wù)管理器

Process Monitor - Windows 下高級(jí)程序監(jiān)控工具

PSTools - 可以幫助管理員實(shí)時(shí)管理系統(tǒng)的 Windows 命令行工具

Pyew - 惡意軟件分析的 Python 工具

Radare2 - 帶有調(diào)試器支持的逆向工程框架

RetDec - 可重定向的機(jī)器碼反編譯器，同時(shí)有在線反編譯服務(wù)和 API

ROPMEMU - 分析、解析、反編譯復(fù)雜的代碼重用攻擊的框架

SMRT - Sublime 3 中輔助惡意軟件分析的插件

strace - Linux 可執(zhí)行文件的動(dòng)態(tài)分析

Triton - 一個(gè)動(dòng)態(tài)二進(jìn)制分析框架

Udis86 - x86 和 x86_64 的反匯編庫(kù)和工具

Vivisect - 惡意軟件分析的 Python 工具

X64dbg - Windows 的一個(gè)開(kāi)源 x64/x32 調(diào)試器

網(wǎng)絡(luò)

分析網(wǎng)絡(luò)交互

Bro - 支持驚人規(guī)模的文件和網(wǎng)絡(luò)協(xié)議的協(xié)議分析工具

BroYara - 基于 Bro 的 Yara 規(guī)則集

CapTipper - 惡意 HTTP 流量管理器

chopshop - 協(xié)議分析和解碼框架

Fiddler - 專為 Web 調(diào)試開(kāi)發(fā)的 Web 代理

Hale - 僵尸網(wǎng)絡(luò) C&C 監(jiān)視器

Haka - 一個(gè)安全導(dǎo)向的開(kāi)源語(yǔ)言，用于在實(shí)時(shí)流量捕獲時(shí)描述協(xié)議、應(yīng)用安全策略

INetSim - 網(wǎng)絡(luò)服務(wù)模擬。建設(shè)一個(gè)惡意軟件分析實(shí)驗(yàn)室十分有用

Laika BOSS - Laika BOSS 是一種以文件為中心的惡意軟件分析和入侵檢測(cè)系統(tǒng)

Malcom - 惡意軟件通信分析儀

Maltrail - 一個(gè)惡意流量檢測(cè)系統(tǒng)，利用公開(kāi)的黑名單來(lái)檢測(cè)惡意和可疑的通信流量，帶有一個(gè)報(bào)告和分析界面

mitmproxy - 攔截網(wǎng)絡(luò)流量通信

Moloch - IPv4 流量捕獲，帶有索引和數(shù)據(jù)庫(kù)系統(tǒng)

NetworkMiner - 有免費(fèi)版本的網(wǎng)絡(luò)取證分析工具

ngrep - 像 grep 一樣收集網(wǎng)絡(luò)流量

PcapViz - 網(wǎng)絡(luò)拓?fù)渑c流量可視化

Tcpdump - 收集網(wǎng)絡(luò)流

tcpick - 從網(wǎng)絡(luò)流量中重構(gòu) TCP 流

tcpxtract - 從網(wǎng)絡(luò)流量中提取文件

Wireshark - 網(wǎng)絡(luò)流量分析工具

內(nèi)存取證

在內(nèi)存映像或正在運(yùn)行的系統(tǒng)中分析惡意軟件的工具

BlackLight - 支持 hiberfil、pagefile 與原始內(nèi)存分析的 Windows / MacOS 取證客戶端

DAMM - 基于 Volatility 的內(nèi)存中惡意軟件的差異分析

evolve - 用于 Volatility Memory 取證框架的 Web 界面

FindAES - 在內(nèi)存中尋找 AES 加密密鑰

Muninn - 一個(gè)使用 Volatility 的自動(dòng)化分析腳本，可以生成一份可讀報(bào)告

Rekall - 內(nèi)存分析框架，2013 年 Volatility 的分支版本

TotalRecall - 基于 Volatility 自動(dòng)執(zhí)行多惡意樣本分析任務(wù)的腳本

VolDiff - 在惡意軟件執(zhí)行前后，在內(nèi)存映像中運(yùn)行 Volatility 并生成對(duì)比報(bào)告

Volatility - 先進(jìn)的內(nèi)存取證框架

VolUtility - Volatility 內(nèi)存分析框架的 Web 接口

WinDbg - Windows 系統(tǒng)的實(shí)時(shí)內(nèi)存檢查和內(nèi)核調(diào)試工具

Windows 神器

AChoir - 一個(gè)用來(lái)收集 Windows 實(shí)時(shí)事件響應(yīng)腳本集

python-evt - 用來(lái)解析 Windows 事件日志的 Python 庫(kù)

python-registry - 用于解析注冊(cè)表文件的 Python 庫(kù)

RegRipper (GitHub) - 基于插件集的工具

存儲(chǔ)和工作流

Aleph - 開(kāi)源惡意軟件分析管道系統(tǒng)

CRITs - 關(guān)于威脅、惡意軟件的合作研究

Malwarehouse - 存儲(chǔ)、標(biāo)注與搜索惡意軟件

Polichombr - 一個(gè)惡意軟件分析平臺(tái)，旨在幫助分析師逆向惡意軟件。

stoQ - 分布式內(nèi)容分析框架，具有廣泛的插件支持

Viper - 分析人員的二進(jìn)制管理和分析框架

雜項(xiàng)

al-khaser - 一個(gè)旨在突出反惡意軟件系統(tǒng)的 PoC 惡意軟件

Binarly - 海量惡意軟件字節(jié)的搜索引擎

DC3-MWCP - 反網(wǎng)絡(luò)犯罪中心的惡意軟件配置解析框架

MalSploitBase - 包含惡意軟件利用的漏洞的數(shù)據(jù)庫(kù)

Malware Museum - 收集 20 世紀(jì)八九十年代流行的惡意軟件

Pafish - Paranoid Fish，與惡意軟件家族的行為一致，采用多種技術(shù)來(lái)檢測(cè)沙盒和分析環(huán)境的演示工具

REMnux - 面向惡意軟件逆向工程師和分析人員的 Linux 發(fā)行版和 Docker 鏡像

Santoku Linux - 移動(dòng)取證的 Linux 發(fā)行版