恶意软件集合

匿名代理

对于分析人员的 Web 流量匿名方案

1. Anonymouse.org - 一个免费、基于 Web 的匿名代理
2. OpenVPN - VPN 软件和托管解决方案
3. Privoxy - 一个带有隐私保护功能的开源代理服务器
4. Tor - 洋葱路由器，为了在浏览网页时不留下客户端 IP 地址

蜜罐

捕获和收集你自己的样本

1. Conpot - ICS/SCADA 蜜罐
2. Cowrie - 基于 Kippo 的 SSH 蜜罐
3. Dionaea - 用来捕获恶意软件的蜜罐
4. Glastopf - Web 应用蜜罐
5. Honeyd - 创建一个虚拟蜜罐
6. HoneyDrive - 蜜罐包的 Linux 发行版
7. Mnemosyne - 受 Dinoaea 支持的蜜罐数据标准化
8. Thug - 用来调查恶意网站的低交互蜜罐

恶意软件样本库

收集用于分析的恶意软件样本

1. Clean MX - 恶意软件和恶意域名的实时数据库
2. Contagio - 近期的恶意软件样本和分析的收集
3. Exploit Database - Exploit 和 shellcode 样本
4. Malshare - 在恶意网站上得到的大量恶意样本库
5. MalwareDB - 恶意软件样本库
6. Open Malware Project - 样本信息和下载
7. Ragpicker - 基于 malware crawler 的一个插件
8. theZoo - 分析人员的实时恶意样本库
9. Tracker h3x - Agregator 的恶意软件跟踪和下载地址
10. ViruSign - 除 ClamAV 外的反病毒程序检出的恶意软件数据库
11. VirusShare - 恶意软件库
12. VX Vault - 恶意软件样本的主动收集
13. Zeltser’s Sources - 由 Lenny Zeltser 整理的恶意软件样本源列表
14. Zeus Source Code - 2011 年 Zeus 源码泄露

开源威胁情报

工具

收集、分析 IOC 信息

1. AbuseHelper - 用于接收和重新分发威胁情报的开源框架
2. AlienVault Open Threat Exchange - 威胁情报的共享与合作
3. Combine - 从公开的信息源中得到威胁情报信息
4. Fileintel - 文件情报
5. Hostintel - 主机情报
6. IntelMQ - CERT 使用消息队列来处理应急数据的工具
7. IOC Editor - Mandiant 出品的一个免费的 XML IOC 文件编辑器
8. ioc_writer - 开发的用于 OpenIOC 对象的 Python 库
9. Massive Octo Spice - 由 CSIRT Gadgets Foundation发起，之前叫做 CIF (Collective Intelligence Framework)，从各种信息源聚合 IOC 信息
10. MISP - 由 The MISP Project 发起的恶意软件信息共享平台
11. PassiveTotal - 研究、链接、标注和分享 IP 与 域名
12. PyIOCe - 一个 Python OpenIOC 编辑器
13. threataggregator - 聚合来自多个信息源的安全威胁，包括 other resources列表中的一些
14. ThreatCrowd - 带有图形可视化的威胁搜索引擎
15. TIQ-test - 威胁情报源的数据可视化和统计分析

其他资源

1. 威胁情报和 IOC 资源
2. Autoshun (list) - Snort 插件和黑名单
3. Bambenek Consulting Feeds - 基于恶意 DGA 算法的 OSINT 订阅
4. Fidelis Barncat - 可扩展的恶意软件配置数据库（必须有请求权限）
5. CI Army (list) - 网络安全黑名单
6. Critical Stack- Free Intel Market - 免费的英特尔去重聚合项目，有超过 90 种订阅以及超过一百二十万个威胁情报信息
7. CRDF ThreatCenter - 由 CRDF 提供的新威胁检出
8. Cybercrime tracker - 多个僵尸网络的活动跟踪
9. FireEye IOCs - 由 FireEye 共享的 IOC 信息
10. FireHOL IP Lists - 针对攻击、恶意软件的更改历史、国家地图和保留政策的 350+ IP 的跟踪
11. hpfeeds - 蜜罐订阅协议
12. Internet Storm Center (DShield) - 日志和可搜索的事件数据库，并且带有 Web API(非官方 Python 库).
13. malc0de - 搜索事件数据库
14. Malware Domain List - 搜索和分享恶意软件 URL
15. OpenIOC - 威胁情报共享框架
16. Palevo Blocklists - 蜜罐 C&C 黑名单
17. Proofpoint Threat Intelligence - 以前新兴威胁的规则集
18. Ransomware overview - 勒索软件的概述列表
19. STIX - Structured Threat Information eXpression - 通过标准化的语言来表示、共享网络威胁信息 MITRE 相关:
20. CAPEC - 常见攻击模式枚举与分类
21. CybOX - 网络观测 eXpression
22. MAEC - 恶意软件特征枚举与界定
23. TAXII - 可信的指标信息自动化交换
24. threatRECON - 搜索指标，每月最多一千次
25. Yara rules - Yara 规则集
26. ZeuS Tracker - ZeuS 黑名单

检测与分类

反病毒和其他恶意软件识别工具

1. AnalyzePE - Windows PE 文件的分析器
2. chkrootkit - 本地 Linux rootkit 检测
3. ClamAV - 开源反病毒引擎
4. Detect-It-Easy - 用于确定文件类型的程序
5. ExifTool - 读、写、编辑文件的元数据
6. File Scanning Framework - 模块化的递归文件扫描解决方案
7. hashdeep - 用各种算法计算哈希值
8. Loki - 基于主机的 IOC 扫描器
9. Malfunction - 在功能层面对恶意软件进行分类和比较
10. MASTIFF - 静态分析框架
11. MultiScanner - 模块化文件扫描/分析框架
12. nsrllookup - 查询 NIST’s National Software Reference Library 数据库中哈希的工具
13. packerid - 跨平台的 PEiD 的替代品
14. PEV - 为正确分析可疑的二进制文件提供功能丰富工具的 PE 文件多平台分析工具集
15. Rootkit Hunter - 检测 Linux 的 rootkits
16. ssdeep - 计算模糊哈希值
17. totalhash.py - 一个简单搜索TotalHash.com 数据库的 Python 脚本
18. TrID - 文件识别
19. YARA - 分析师利用的模式识别工具
20. Yara rules generator - 基于恶意样本生成 yara 规则，也包含避免误报的字符串数据库

在线扫描与沙盒

基于 Web 的多反病毒引擎扫描器和恶意软件自动分析的沙盒

1. APK Analyzer - APK 免费动态分析
2. AndroTotal - 利用多个移动反病毒软件进行免费在线分析 App
3. AVCaesar - Malware.lu 在线扫描器和恶意软件集合
4. Cryptam - 分析可疑的 Office 文档
5. Cuckoo Sandbox - 开源、自主的沙盒和自动分析系统
6. cuckoo-modified - GPL 许可证的 Cuckoo 沙盒的修改版，由于法律原因作者没有将其分支合并
7. cuckoo-modified-api - 用于控制 cuckoo-modified 沙盒的 Python API
8. DeepViz - 通过机器学习分类来分析的多格式文件分析器
9. detux - 一个用于对 Linux 恶意软件流量分析与 IOC 信息捕获的沙盒
10. Document Analyzer - DOC 和 PDF 文件的免费动态分析
11. DRAKVUF - 动态恶意软件分析系统
12. File Analyzer - 免费 PE 文件动态分析
13. firmware.re - 解包、扫描、分析绝大多数固件包
14. Hybrid Analysis - 由 VxSandbox 支持的在线恶意软件分析工具
15. IRMA - 异步、可定制的可疑文件分析平台
16. Joe Sandbox - 深度恶意软件分析
17. Jotti - 免费在线多反病毒引擎扫描器
18. Limon - 分析 Linux 恶意软件的沙盒
19. Malheur - 恶意行为的自动化沙盒分析
20. Malware config - 从常见的恶意软件提取、解码和在线配置
21. Malwr - 免费的在线 Cuckoo 沙盒分析实例
22. MASTIFF Online - 在线恶意软件静态分析
23. Metadefender.com - 扫描文件、哈希或恶意软件的 IP 地址
24. NetworkTotal - 一个分析 pcap 文件的服务，使用配置了 EmergingThreats Pro 的Suricata 快速检测病毒、蠕虫、木马和各种恶意软件
25. Noriben - 使用 Sysinternals Procmon 收集恶意软件在沙盒环境下的进程信息
26. PDF Examiner - 收集可疑的 PDF 文件
27. ProcDot - 一个可视化恶意软件分析工具集
28. Recomposer - 安全上传二进制程序到沙盒网站的辅助脚本
29. Sand droid - 自动化、完整的 Android 应用程序分析系统
30. SEE - 在安全环境中构建测试自动化的框架
31. URL Analyzer - 对 URL 文件的动态分析
32. VirusTotal - 免费的在线恶意软件样本和 URL 分析
33. Visualize_Logs - 用于日志的开源可视化库和命令行工具（Cuckoo、Procmon 等）
34. Zeltser’s List - Lenny Zeltser 创建的免费自动沙盒服务

域名分析

检查域名和 IP 地址

1. Desenmascara.me - 一键点击即可得到尽可能多的检索元数据以评估一个网站的信誉度
2. Dig - 免费的在线 dig 以及其他网络工具
3. dnstwist - 用于检测钓鱼网站和公司间谍活动的域名排名网站
4. IPinfo - 通过搜索在线资源收集关于 IP 或 域名的信息
5. Machinae - 类似 Automator 的 OSINT 工具，用于收集有关 URL、IP 或哈希的信息
6. mailchecker - 跨语言临时邮件检测库
7. MaltegoVT - 让 Maltego 使用 VirusTotal API，允许搜索域名、IP 地址、文件哈希、报告
8. Multi rbl - 多个 DNS 黑名单，反向查找超过 300 个 RBL。
9. SenderBase - 搜索 IP、域名或网络的所有者
10. SpamCop - 垃圾邮件 IP 黑名单IP
11. SpamHaus - 基于域名和 IP 的黑名单
12. Sucuri SiteCheck - 免费的网站恶意软件与安全扫描器
13. TekDefense Automator - 收集关于 URL、IP 和哈希值的 OSINT 工具
14. URLQuery - 免费的 URL 扫描器
15. Whois - DomainTools 家免费的 whois 搜索
16. Zeltser’s List - 由 Lenny Zeltser 整理的免费在线恶意软件工具集
17. ZScalar Zulu - Zulu URL 风险分析
18. 浏览器恶意软件
19. 分析恶意 URL，也可以参考 domain analysis 和 documents and shellcode 部分
20. Firebug - Firefox Web 开发扩展
21. Java Decompiler - 反编译并检查 Java 的应用
22. Java IDX Parser - 解析 Java IDX 缓存文件
23. JSDetox - JavaScript 恶意软件分析工具
24. jsunpack-n - 一个 javascript 解压软件，可以模拟浏览器功能
25. Krakatau - Java 的反编译器、汇编器与反汇编器
26. Malzilla - 分析恶意 Web 页面
27. RABCDAsm - 一个健壮的 ActionScript 字节码反汇编
28. swftools - PDF 转换成 SWF 的工具
29. xxxswf - 分析 Flash 文件的 Python 脚本
30. 文档和 Shellcode
31. 在 PDF、Office 文档中分析恶意 JS 和 Shellcode，也可参考browser malware 部分
32. AnalyzePDF - 分析 PDF 并尝试判断其是否是恶意文件的工具
33. box-js - 用于研究 JavaScript 恶意软件的工具，支持 JScript/WScript 和 ActiveX 仿真功能
34. diStorm - 分析恶意 Shellcode 的反汇编器
35. JS Beautifier - JavaScript 脱壳和去混淆
36. JS Deobfuscator - 对那些使用 eval 或 document.write 的简单 Javascript 去混淆
37. libemu - x86 shellcode 仿真的库和工具
38. malpdfobj - 解构恶意 PDF 为 JSON 表示
39. OfficeMalScanner - 扫描 MS Office 文档中的恶意跟踪
40. olevba - 解析 OLE 和 OpenXML 文档，并提取有用信息的脚本
41. Origami PDF - 一个分析恶意 PDF 的工具
42. PDF Tools - Didier Stevens 开发的许多关于 PDF 的工具
43. PDF X-Ray Lite - PDF 分析工具，PDF X-RAY 的无后端版本
44. peepdf - 用来探索可能是恶意的 PDF 的 Python 工具
45. QuickSand - QuickSand 是一个紧凑的 C 框架，用于分析可疑的恶意软件文档，以识别不同编码流中的漏洞，并定位和提取嵌入的可执行文件
46. Spidermonkey - Mozilla 的 JavaScript 引擎，用来调试可疑 JS 代码

文件提取

从硬盘和内存镜像中提取文件

1. bulk_extractor - 快速文件提取工具
2. EVTXtract - 从原始二进制数据提取 Windows 事件日志文件
3. Foremost - 由 US Air Force 设计的文件提取工具
4. Hachoir - 处理二进制程序的 Python 库的集合
5. Scalpel - 另一个数据提取工具

去混淆

破解异或或其它代码混淆方法

1. Balbuzard - 去除混淆(XOR、ROL等)的恶意软件分析工具
2. de4dot - .NET 去混淆与脱壳
3. ex_pe_xor 和 iheartxor - Alexander Hanel 开发的用于去除单字节异或编码的文件的两个工具
4. FLOSS - FireEye 实验室的混淆字符串求解工具，使用高级静态分析技术来自动去除恶意软件二进制文件中的字符串
5. NoMoreXOR - 通过频率分析来猜测一个 256 字节的异或密钥
6. PackerAttacker - Windows 恶意软件的通用隐藏代码提取程序
7. unpacker - 基于 WinAppDbg 的自动 Windows 恶意软件脱壳器
8. unxor - 通过已知明文攻击来猜测一个异或密钥
9. VirtualDeobfuscator - 虚拟逆向分析工具
10. XORBruteForcer - 爆破单字节异或密钥的 Python 脚本
11. XORSearch 和 XORStrings - Didier Stevens 开发的用于寻找异或混淆后数据的两个工具
12. xortool - 猜测异或密钥和密钥的长度
13. 调试和逆向工程
14. 反编译器、调试器和其他静态、动态分析工具
15. angr - UCSB 的安全实验室开发的跨平台二进制分析框架
16. bamfdetect - 识别和提取奇迹人和其他恶意软件的信息
17. BAP - CMU 的安全实验室开发的跨平台开源二进制分析框架
18. BARF - 跨平台、开源二进制分析逆向框架
19. binnavi - 基于图形可视化的二进制分析 IDE
20. Binwalk - 固件分析工具
21. Bokken - Pyew 和 Radare 的界面版
22. Capstone - 二进制分析反汇编框架，支持多种架构和许多语言
23. codebro - 使用 clang 提供基础代码分析的 Web 端代码浏览器
24. dnSpy - .NET 编辑器、编译器、调试器
25. Evan’s Debugger (EDB) - Qt GUI 程序的模块化调试器
26. Fibratus - 探索、跟踪 Windows 内核的工具
27. FPort - 实时查看系统中打开的 TCP/IP 和 UDP 端口，并映射到应用程序
28. GDB - GNU 调试器
29. GEF - 针对开发人员和逆向工程师的 GDB 增强版
30. hackers-grep - 用来搜索 PE 程序中的导入表、导出表、字符串、调试符号
31. IDA Pro - Windows 反汇编和调试器，有免费评估版
32. Immunity Debugger - 带有 Python API 的恶意软件调试器
33. ltrace - Linux 可执行文件的动态分析
34. objdump - GNU 工具集的一部分，面向 Linux 二进制程序的静态分析
35. OllyDbg - Windows 可执行程序汇编级调试器
36. PANDA - 动态分析平台
37. PEDA - 基于 GDB 的 Pythton Exploit 开发辅助工具，增强显示及增强的命令
38. pestudio - Windows 可执行程序的静态分析
39. plasma - 面向 x86/ARM/MIPS 的交互式反汇编器
40. PPEE (puppy) - 专业的 PE 文件资源管理器
41. Process Explorer - 高级 Windows 任务管理器
42. Process Monitor - Windows 下高级程序监控工具
43. PSTools - 可以帮助管理员实时管理系统的 Windows 命令行工具
44. Pyew - 恶意软件分析的 Python 工具
45. Radare2 - 带有调试器支持的逆向工程框架
46. RetDec - 可重定向的机器码反编译器，同时有在线反编译服务和 API
47. ROPMEMU - 分析、解析、反编译复杂的代码重用攻击的框架
48. SMRT - Sublime 3 中辅助恶意软件分析的插件
49. strace - Linux 可执行文件的动态分析
50. Triton - 一个动态二进制分析框架
51. Udis86 - x86 和 x86_64 的反汇编库和工具
52. Vivisect - 恶意软件分析的 Python 工具
53. X64dbg - Windows 的一个开源 x64/x32 调试器

网络

分析网络交互

1. Bro - 支持惊人规模的文件和网络协议的协议分析工具
2. BroYara - 基于 Bro 的 Yara 规则集
3. CapTipper - 恶意 HTTP 流量管理器
4. chopshop - 协议分析和解码框架
5. Fiddler - 专为 Web 调试开发的 Web 代理
6. Hale - 僵尸网络 C&C 监视器
7. Haka - 一个安全导向的开源语言，用于在实时流量捕获时描述协议、应用安全策略
8. INetSim - 网络服务模拟。建设一个恶意软件分析实验室十分有用
9. Laika BOSS - Laika BOSS 是一种以文件为中心的恶意软件分析和入侵检测系统
10. Malcom - 恶意软件通信分析仪
11. Maltrail - 一个恶意流量检测系统，利用公开的黑名单来检测恶意和可疑的通信流量，带有一个报告和分析界面
12. mitmproxy - 拦截网络流量通信
13. Moloch - IPv4 流量捕获，带有索引和数据库系统
14. NetworkMiner - 有免费版本的网络取证分析工具
15. ngrep - 像 grep 一样收集网络流量
16. PcapViz - 网络拓扑与流量可视化
17. Tcpdump - 收集网络流
18. tcpick - 从网络流量中重构 TCP 流
19. tcpxtract - 从网络流量中提取文件
20. Wireshark - 网络流量分析工具

内存取证

在内存映像或正在运行的系统中分析恶意软件的工具

1. BlackLight - 支持 hiberfil、pagefile 与原始内存分析的 Windows / MacOS 取证客户端
2. DAMM - 基于 Volatility 的内存中恶意软件的差异分析
3. evolve - 用于 Volatility Memory 取证框架的 Web 界面
4. FindAES - 在内存中寻找 AES 加密密钥
5. Muninn - 一个使用 Volatility 的自动化分析脚本，可以生成一份可读报告
6. Rekall - 内存分析框架，2013 年 Volatility 的分支版本
7. TotalRecall - 基于 Volatility 自动执行多恶意样本分析任务的脚本
8. VolDiff - 在恶意软件执行前后，在内存映像中运行 Volatility 并生成对比报告
9. Volatility - 先进的内存取证框架
10. VolUtility - Volatility 内存分析框架的 Web 接口
11. WinDbg - Windows 系统的实时内存检查和内核调试工具

Windows平台神器

1. AChoir - 一个用来收集 Windows 实时事件响应脚本集
2. python-evt - 用来解析 Windows 事件日志的 Python 库
3. python-registry - 用于解析注册表文件的 Python 库
4. RegRipper (GitHub) - 基于插件集的工具

存储和工作流

1. Aleph - 开源恶意软件分析管道系统
2. CRITs - 关于威胁、恶意软件的合作研究
3. Malwarehouse - 存储、标注与搜索恶意软件
4. Polichombr - 一个恶意软件分析平台，旨在帮助分析师逆向恶意软件。
5. stoQ - 分布式内容分析框架，具有广泛的插件支持
6. Viper - 分析人员的二进制管理和分析框架

杂项

1. al-khaser - 一个旨在突出反恶意软件系统的 PoC 恶意软件
2. Binarly - 海量恶意软件字节的搜索引擎
3. DC3-MWCP - 反网络犯罪中心的恶意软件配置解析框架
4. MalSploitBase - 包含恶意软件利用的漏洞的数据库
5. Malware Museum - 收集 20 世纪八九十年代流行的恶意软件
6. Pafish - Paranoid Fish，与恶意软件家族的行为一致，采用多种技术来检测沙盒和分析环境的演示工具
7. REMnux - 面向恶意软件逆向工程师和分析人员的 Linux 发行版和 Docker 镜像
8. Santoku Linux - 移动取证的 Linux 发行版

资源

书籍

基础恶意软件分析阅读书单

1. Malware Analyst’s Cookbook and DVD - 打击恶意代码的工具和技术
2. Practical Malware Analysis - 剖析恶意软件的手边书
3. Real Digital Forensics - 计算机安全与应急响应
4. The Art of Memory Forensics - 在 Windows、Linux 和 Mac 系统的内存中检测恶意软件和威胁
5. The IDA Pro Book - 世界上最流行的反汇编器的非官方指南
6. Real Digital Forensics - 用于移动取证、恶意软件分析的 Linux 发行版

Twitter

一些相关的 Twitter 账户

1. Adamb @Hexacorn
2. Andrew Case @attrc
3. Binni Shah @binitamshah
4. Claudio @botherder
5. Dustin Webber @mephux
6. Glenn @hiddenillusion
7. jekil @jekil
8. Jurriaan Bremer @skier_t
9. Lenny Zeltser @lennyzeltser
10. Liam Randall @hectaman
11. Mark Schloesser @repmovsb
12. Michael Ligh (MHL) @iMHLv2
13. Monnappa @monnappa22
14. Open Malware @OpenMalware
15. Richard Bejtlich @taosecurity
16. Volatility @volatility

其它

1. APT Notes - 一个收集 APT 相关文献的合辑
2. File Formats posters - 常用文件格式的可视化（包括 PE 与 ELF）
3. Honeynet Project - 蜜罐工具、论文和其他资源
4. Kernel Mode - 一个致力于恶意软件分析和内核开发的活跃社区
5. Malicious Software - Lenny Zeltser 的恶意软件博客和资源
6. Malware Analysis Search - Corey Harrell 自定义的用于恶意软件分析的 Google 搜索
7. Malware Analysis Tutorials - 由 Xiang Fu 博士提供的恶意软件分析教程，是一个学习恶意软件分析的重要资源
8. Malware Samples and Traffic - 此博客重点介绍与恶意软件感染相关的网络流量
9. Practical Malware Analysis Starter Kit - 此软件包包含 Practical Malware Analysis 书中引用的大多数软件
10. WindowsIR: Malware - Harlan Carvey 的恶意软件页面
11. csirt_tools - CSIRT 工具和资源的子版块，讲恶意软件分析的天才
12. Malware - 恶意软件的子版块
13. ReverseEngineering - 逆向工程子版块，不仅限于恶意软件

相关清单

1. Android Security
2. AppSec
3. CTFs
4. Forensics
5. “Hacking”
6. Honeypots
7. Industrial Control System Security
8. Incident-Response
9. Infosec
10. PCAP Tools
11. Pentesting
12. Security
13. Threat Intelligence

点击数：648