MalwareAnalysis : 恶意软件分析工具大合集

这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。

---

恶意软件集合

匿名代理

对于分析人员的 Web 流量匿名方案

蜜罐

捕获和收集你自己的样本

恶意软件样本库

收集用于分析的恶意软件样本

开源威胁情报

工具

收集、分析 IOC 信息

其他资源

威胁情报和 IOC 资源

检测与分类

反病毒和其他恶意软件识别工具

在线扫描与沙盒

基于 Web 的多反病毒引擎扫描器和恶意软件自动分析的沙盒

域名分析

检查域名和 IP 地址

浏览器恶意软件

分析恶意 URL，也可以参考 domain analysis 和 documents and shellcode 部分

文档和 Shellcode

在 PDF、Office 文档中分析恶意 JS 和 Shellcode，也可参考browser malware 部分

文件提取

从硬盘和内存镜像中提取文件

去混淆

破解异或或其它代码混淆方法

调试和逆向工程

反编译器、调试器和其他静态、动态分析工具

网络

分析网络交互

内存取证

在内存映像或正在运行的系统中分析恶意软件的工具

• BlackLight - 支持 hiberfil、pagefile 与原始内存分析的 Windows / MacOS 取证客户端
• DAMM - 基于 Volatility 的内存中恶意软件的差异分析
• evolve - 用于 Volatility Memory 取证框架的 Web 界面
• FindAES - 在内存中寻找 AES 加密密钥
• Muninn - 一个使用 Volatility 的自动化分析脚本，可以生成一份可读报告
• Rekall - 内存分析框架，2013 年 Volatility 的分支版本
• TotalRecall - 基于 Volatility 自动执行多恶意样本分析任务的脚本
• VolDiff - 在恶意软件执行前后，在内存映像中运行 Volatility 并生成对比报告
• Volatility - 先进的内存取证框架
• VolUtility - Volatility 内存分析框架的 Web 接口
• WinDbg - Windows 系统的实时内存检查和内核调试工具

Windows 神器

存储和工作流

杂项

书籍

基础恶意软件分析阅读书单

Twitter

一些相关的 Twitter 账户

其它

欢迎提出问题或者 Pull requests！请在提交 Pull request 之前阅读 CONTRIBUTING。

这个列表需要感谢如下一些人:

• Lenny Zeltser 和 REMnux 的其他开发者贡献了这个列表中很多工具
• Michail Hale Ligh、Steven Adair、Blake Hartstein 和 Mather Richard 著有 Malware Analyst's Cookbook，这本书为这个列表的创建提供了很大的灵感
• 每一个提交 Pull request 以及提出建议的人

十分感谢!