在全球中國是受惡意軟件影響比較大的國家之一。根據(jù)相關(guān)報告顯示,亞太地區(qū)是受到僵尸網(wǎng)絡(luò)影響最大的地區(qū),同時受到勒索、欺詐等惡意軟件的影響也特別靠前;根據(jù)2016年360互聯(lián)網(wǎng)安全中心監(jiān)測的報告顯示,在2016年用戶手動放行惡意軟件500余萬次,涉及惡意軟件樣本3萬余個,平均每個此類惡意軟件樣本可以成功攻擊160余臺普通個人電腦。
▲
▲
雖然由于免費安全軟件在中國的高度普及,惡意軟件的編寫、制作門檻越來越高,惡意軟件的傳播也變得越來越困難。但“安全像彈簧,你弱它就強(qiáng)”。同時隨著國家對安全政策的傾斜,我國也迎來了信息安全、網(wǎng)絡(luò)安全的高速發(fā)展,有越來過多的IT從業(yè)者參與其中。
來自Github的開發(fā)貢獻(xiàn)者rshipp,在其存儲庫中發(fā)表了《惡意軟件分析大合集》,貼心的rshipp在2017年1月將這一系列同步了中文版,IT168小編度娘了一下,國內(nèi)還沒有這個合集的內(nèi)容,特此放出以饗讀者。該合集是小編目前看到最全的針對惡意軟件分析的內(nèi)容,朋友們一定要收藏。
▲首先要感謝@rshipp的無私奉獻(xiàn)和貼心的中文版譯文。而且該系列還在持續(xù)更新中,朋友們可移駕https://github.com/rshipp/awesome-malware-analysis持續(xù)關(guān)注。
▲《惡意軟件分析大合集》目錄
《惡意軟件分析大合集》分析全文:
惡意軟件集合
匿名代理
對于分析人員的Web流量匿名方案
Anonymouse.org - 一個免費、基于Web的匿名代理
OpenVPN - VPN 軟件和托管解決方案
Privoxy - 一個帶有隱私保護(hù)功能的開源代理服務(wù)器
Tor - 洋蔥路由器,為了在瀏覽網(wǎng)頁時不留下客戶端IP地址
蜜罐
捕獲和收集你自己的樣本
Conpot - ICS/SCADA 蜜罐
Cowrie - 基于 Kippo 的 SSH 蜜罐
Dionaea - 用來捕獲惡意軟件的蜜罐
Glastopf - Web 應(yīng)用蜜罐
Honeyd - 創(chuàng)建一個虛擬蜜罐
HoneyDrive - 蜜罐包的 Linux 發(fā)行版
Mnemosyne - 受 Dinoaea 支持的蜜罐數(shù)據(jù)標(biāo)準(zhǔn)化
Thug - 用來調(diào)查惡意網(wǎng)站的低交互蜜罐
惡意軟件樣本庫
收集用于分析的惡意軟件樣本
Clean MX - 惡意軟件和惡意域名的實時數(shù)據(jù)庫
Contagio - 近期的惡意軟件樣本和分析的收集
Exploit Database - Exploit 和 shellcode 樣本
Malshare - 在惡意網(wǎng)站上得到的大量惡意樣本庫
MalwareDB - 惡意軟件樣本庫
Open Malware Project - 樣本信息和下載
Ragpicker - 基于 malware crawler 的一個插件
theZoo - 分析人員的實時惡意樣本庫
Tracker h3x - Agregator 的惡意軟件跟蹤和下載地址
ViruSign - 除 ClamAV 外的反病毒程序檢出的惡意軟件數(shù)據(jù)庫
VirusShare - 惡意軟件庫
VX Vault - 惡意軟件樣本的主動收集
Zeltser's Sources - 由 Lenny Zeltser 整理的惡意軟件樣本源列表
Zeus Source Code - 2011 年 Zeus 源碼泄露
開源威脅情報
工具
收集、分析 IOC 信息
AbuseHelper - 用于接收和重新分發(fā)威脅情報的開源框架
AlienVault Open Threat Exchange - 威脅情報的共享與合作
Combine - 從公開的信息源中得到威脅情報信息
Fileintel - 文件情報
Hostintel - 主機(jī)情報
IntelMQ - CERT 使用消息隊列來處理應(yīng)急數(shù)據(jù)的工具
IOC Editor - Mandiant 出品的一個免費的 XML IOC 文件編輯器
ioc_writer - 開發(fā)的用于 OpenIOC 對象的 Python 庫
Massive Octo Spice - 由 CSIRT Gadgets Foundation發(fā)起,之前叫做 CIF (Collective Intelligence Framework),從各種信息源聚合 IOC 信息
MISP - 由 The MISP Project 發(fā)起的惡意軟件信息共享平臺
PassiveTotal - 研究、鏈接、標(biāo)注和分享 IP 與 域名
PyIOCe - 一個 Python OpenIOC 編輯器
threataggregator - 聚合來自多個信息源的安全威脅,包括 other resources 列表中的一些
ThreatCrowd - 帶有圖形可視化的威脅搜索引擎
TIQ-test - 威脅情報源的數(shù)據(jù)可視化和統(tǒng)計分析
其他資源
威脅情報和 IOC 資源
Autoshun (list) - Snort 插件和黑名單
Bambenek Consulting Feeds - 基于惡意 DGA 算法的 OSINT 訂閱
Fidelis Barncat - 可擴(kuò)展的惡意軟件配置數(shù)據(jù)庫(必須有請求權(quán)限)
CI Army (list) - 網(wǎng)絡(luò)安全黑名單
Critical Stack- Free Intel Market - 免費的英特爾去重聚合項目,有超過 90 種訂閱以及超過一百二十萬個威脅情報信息
CRDF ThreatCenter - 由 CRDF 提供的新威脅檢出
Cybercrime tracker - 多個僵尸網(wǎng)絡(luò)的活動跟蹤
FireEye IOCs - 由 FireEye 共享的 IOC 信息
FireHOL IP Lists - 針對攻擊、惡意軟件的更改歷史、國家地圖和保留政策的 350+ IP 的跟蹤
hpfeeds - 蜜罐訂閱協(xié)議
Internet Storm Center (DShield) - 日志和可搜索的事件數(shù)據(jù)庫,并且?guī)в?Web API(非官方 Python 庫).
malc0de - 搜索事件數(shù)據(jù)庫
Malware Domain List - 搜索和分享惡意軟件 URL
OpenIOC - 威脅情報共享框架
Palevo Blocklists - 蜜罐 C&C 黑名單
Proofpoint Threat Intelligence - 以前新興威脅的規(guī)則集
Ransomware overview - 勒索軟件的概述列表
STIX - Structured Threat Information eXpression - 通過標(biāo)準(zhǔn)化的語言來表示、共享網(wǎng)絡(luò)威脅信息 MITRE 相關(guān):
CAPEC - 常見攻擊模式枚舉與分類
CybOX - 網(wǎng)絡(luò)觀測 eXpression
MAEC - 惡意軟件特征枚舉與界定
TAXII - 可信的指標(biāo)信息自動化交換
threatRECON - 搜索指標(biāo),每月最多一千次
Yara rules - Yara 規(guī)則集
ZeuS Tracker - ZeuS 黑名單
檢測與分類
反病毒和其他惡意軟件識別工具
AnalyzePE - Windows PE 文件的分析器
chkrootkit - 本地 Linux rootkit 檢測
ClamAV - 開源反病毒引擎
Detect-It-Easy - 用于確定文件類型的程序
ExifTool - 讀、寫、編輯文件的元數(shù)據(jù)
File Scanning Framework - 模塊化的遞歸文件掃描解決方案
hashdeep - 用各種算法計算哈希值
Loki - 基于主機(jī)的 IOC 掃描器
Malfunction - 在功能層面對惡意軟件進(jìn)行分類和比較
MASTIFF - 靜態(tài)分析框架
MultiScanner - 模塊化文件掃描/分析框架
nsrllookup - 查詢 NIST's National Software Reference Library 數(shù)據(jù)庫中哈希的工具
packerid - 跨平臺的 PEiD 的替代品
PEV - 為正確分析可疑的二進(jìn)制文件提供功能豐富工具的 PE 文件多平臺分析工具集
Rootkit Hunter - 檢測 Linux 的 rootkits
ssdeep - 計算模糊哈希值
totalhash.py - 一個簡單搜索TotalHash.com 數(shù)據(jù)庫的 Python 腳本
TrID - 文件識別
YARA - 分析師利用的模式識別工具
Yara rules generator - 基于惡意樣本生成 yara 規(guī)則,也包含避免誤報的字符串?dāng)?shù)據(jù)庫
在線掃描與沙盒
基于 Web 的多反病毒引擎掃描器和惡意軟件自動分析的沙盒
APK Analyzer - APK 免費動態(tài)分析
AndroTotal - 利用多個移動反病毒軟件進(jìn)行免費在線分析 App
AVCaesar - Malware.lu 在線掃描器和惡意軟件集合
Cryptam - 分析可疑的 Office 文檔
Cuckoo Sandbox - 開源、自主的沙盒和自動分析系統(tǒng)
cuckoo-modified - GPL 許可證的 Cuckoo 沙盒的修改版,由于法律原因作者沒有將其分支合并
cuckoo-modified-api - 用于控制 cuckoo-modified 沙盒的 Python API
DeepViz - 通過機(jī)器學(xué)習(xí)分類來分析的多格式文件分析器
detux - 一個用于對 Linux 惡意軟件流量分析與 IOC 信息捕獲的沙盒
Document Analyzer - DOC 和 PDF 文件的免費動態(tài)分析
DRAKVUF - 動態(tài)惡意軟件分析系統(tǒng)
File Analyzer - 免費 PE 文件動態(tài)分析
firmware.re - 解包、掃描、分析絕大多數(shù)固件包
Hybrid Analysis - 由 VxSandbox 支持的在線惡意軟件分析工具
IRMA - 異步、可定制的可疑文件分析平臺
Joe Sandbox - 深度惡意軟件分析
Jotti - 免費在線多反病毒引擎掃描器
Limon - 分析 Linux 惡意軟件的沙盒
Malheur - 惡意行為的自動化沙盒分析
Malware config - 從常見的惡意軟件提取、解碼和在線配置
Malwr - 免費的在線 Cuckoo 沙盒分析實例
MASTIFF Online - 在線惡意軟件靜態(tài)分析
Metadefender.com - 掃描文件、哈?;驉阂廛浖?IP 地址
NetworkTotal - 一個分析 pcap 文件的服務(wù),使用配置了 EmergingThreats Pro 的Suricata 快速檢測病毒、蠕蟲、木馬和各種惡意軟件
Noriben - 使用 Sysinternals Procmon 收集惡意軟件在沙盒環(huán)境下的進(jìn)程信息
PDF Examiner - 收集可疑的 PDF 文件
ProcDot - 一個可視化惡意軟件分析工具集
Recomposer - 安全上傳二進(jìn)制程序到沙盒網(wǎng)站的輔助腳本
Sand droid - 自動化、完整的 Android 應(yīng)用程序分析系統(tǒng)
SEE - 在安全環(huán)境中構(gòu)建測試自動化的框架
URL Analyzer - 對 URL 文件的動態(tài)分析
VirusTotal - 免費的在線惡意軟件樣本和 URL 分析
Visualize_Logs - 用于日志的開源可視化庫和命令行工具(Cuckoo、Procmon 等)
Zeltser's List - Lenny Zeltser 創(chuàng)建的免費自動沙盒服務(wù)
域名分析
檢查域名和IP地址
Desenmascara.me - 一鍵點擊即可得到盡可能多的檢索元數(shù)據(jù)以評估一個網(wǎng)站的信譽(yù)度
Dig - 免費的在線 dig 以及其他網(wǎng)絡(luò)工具
dnstwist - 用于檢測釣魚網(wǎng)站和公司間諜活動的域名排名網(wǎng)站
IPinfo - 通過搜索在線資源收集關(guān)于 IP 或 域名的信息
Machinae - 類似 Automator 的 OSINT 工具,用于收集有關(guān) URL、IP 或哈希的信息
mailchecker - 跨語言臨時郵件檢測庫
MaltegoVT - 讓 Maltego 使用 VirusTotal API,允許搜索域名、IP 地址、文件哈希、報告
Multi rbl - 多個 DNS 黑名單,反向查找超過 300 個 RBL。
SenderBase - 搜索 IP、域名或網(wǎng)絡(luò)的所有者
SpamCop - 垃圾郵件 IP 黑名單IP
SpamHaus - 基于域名和 IP 的黑名單
Sucuri SiteCheck - 免費的網(wǎng)站惡意軟件與安全掃描器
TekDefense Automator - 收集關(guān)于 URL、IP 和哈希值的 OSINT 工具
URLQuery - 免費的 URL 掃描器
Whois - DomainTools 家免費的 whois 搜索
Zeltser's List - 由 Lenny Zeltser 整理的免費在線惡意軟件工具集
ZScalar Zulu - Zulu URL 風(fēng)險分析
瀏覽器惡意軟件
分析惡意URL
Firebug - Firefox Web 開發(fā)擴(kuò)展
Java Decompiler - 反編譯并檢查 Java 的應(yīng)用
Java IDX Parser - 解析 Java IDX 緩存文件
JSDetox - JavaScript 惡意軟件分析工具
jsunpack-n - 一個 javascript 解壓軟件,可以模擬瀏覽器功能
Krakatau - Java 的反編譯器、匯編器與反匯編器
Malzilla - 分析惡意 Web 頁面
RABCDAsm - 一個健壯的 ActionScript 字節(jié)碼反匯編
swftools - PDF 轉(zhuǎn)換成 SWF 的工具
xxxswf - 分析 Flash 文件的 Python 腳本
文檔和 Shellcode
在 PDF、Office 文檔中分析惡意 JS 和 Shellcode
AnalyzePDF - 分析 PDF 并嘗試判斷其是否是惡意文件的工具
box-js - 用于研究 JavaScript 惡意軟件的工具,支持 JScript/WScript 和 ActiveX 仿真功能
diStorm - 分析惡意 Shellcode 的反匯編器
JS Beautifier - JavaScript 脫殼和去混淆
JS Deobfuscator - 對那些使用 eval 或 document.write 的簡單 Javascript 去混淆
libemu - x86 shellcode 仿真的庫和工具
malpdfobj - 解構(gòu)惡意 PDF 為 JSON 表示
OfficeMalScanner - 掃描 MS Office 文檔中的惡意跟蹤
olevba - 解析 OLE 和 OpenXML 文檔,并提取有用信息的腳本
Origami PDF - 一個分析惡意 PDF 的工具
PDF Tools - Didier Stevens 開發(fā)的許多關(guān)于 PDF 的工具
PDF X-Ray Lite - PDF 分析工具,PDF X-RAY 的無后端版本
peepdf - 用來探索可能是惡意的 PDF 的 Python 工具
QuickSand - QuickSand 是一個緊湊的 C 框架,用于分析可疑的惡意軟件文檔,以識別不同編碼流中的漏洞,并定位和提取嵌入的可執(zhí)行文件
Spidermonkey - Mozilla 的 JavaScript 引擎,用來調(diào)試可疑 JS 代碼
文件提取
從硬盤和內(nèi)存鏡像中提取文件
bulk_extractor - 快速文件提取工具
EVTXtract - 從原始二進(jìn)制數(shù)據(jù)提取 Windows 事件日志文件
Foremost - 由 US Air Force 設(shè)計的文件提取工具
Hachoir - 處理二進(jìn)制程序的 Python 庫的集合
Scalpel - 另一個數(shù)據(jù)提取工具
去混淆
破解異或或其它代碼混淆方法
Balbuzard - 去除混淆(XOR、ROL等)的惡意軟件分析工具
de4dot - .NET 去混淆與脫殼
ex_pe_xor 和 iheartxor - Alexander Hanel 開發(fā)的用于去除單字節(jié)異或編碼的文件的兩個工具
FLOSS - FireEye 實驗室的混淆字符串求解工具,使用高級靜態(tài)分析技術(shù)來自動去除惡意軟件二進(jìn)制文件中的字符串
NoMoreXOR - 通過頻率分析來猜測一個 256 字節(jié)的異或密鑰
PackerAttacker - Windows 惡意軟件的通用隱藏代碼提取程序
unpacker - 基于 WinAppDbg 的自動 Windows 惡意軟件脫殼器
unxor - 通過已知明文攻擊來猜測一個異或密鑰
VirtualDeobfuscator - 虛擬逆向分析工具
XORBruteForcer - 爆破單字節(jié)異或密鑰的 Python 腳本
XORSearch 和 XORStrings - Didier Stevens 開發(fā)的用于尋找異或混淆后數(shù)據(jù)的兩個工具
xortool - 猜測異或密鑰和密鑰的長度
調(diào)試和逆向工程
反編譯器、調(diào)試器和其他靜態(tài)、動態(tài)分析工具
angr - UCSB 的安全實驗室開發(fā)的跨平臺二進(jìn)制分析框架
bamfdetect - 識別和提取奇跡人和其他惡意軟件的信息
BAP - CMU 的安全實驗室開發(fā)的跨平臺開源二進(jìn)制分析框架
BARF - 跨平臺、開源二進(jìn)制分析逆向框架
binnavi - 基于圖形可視化的二進(jìn)制分析 IDE
Binwalk - 固件分析工具
Bokken - Pyew 和 Radare 的界面版
Capstone - 二進(jìn)制分析反匯編框架,支持多種架構(gòu)和許多語言
codebro - 使用 clang 提供基礎(chǔ)代碼分析的 Web 端代碼瀏覽器
dnSpy - .NET 編輯器、編譯器、調(diào)試器
Evan's Debugger (EDB) - Qt GUI 程序的模塊化調(diào)試器
Fibratus - 探索、跟蹤 Windows 內(nèi)核的工具
FPort - 實時查看系統(tǒng)中打開的 TCP/IP 和 UDP 端口,并映射到應(yīng)用程序
GDB - GNU 調(diào)試器
GEF - 針對開發(fā)人員和逆向工程師的 GDB 增強(qiáng)版
hackers-grep - 用來搜索 PE 程序中的導(dǎo)入表、導(dǎo)出表、字符串、調(diào)試符號
IDA Pro - Windows 反匯編和調(diào)試器,有免費評估版
Immunity Debugger - 帶有 Python API 的惡意軟件調(diào)試器
ltrace - Linux 可執(zhí)行文件的動態(tài)分析
objdump - GNU 工具集的一部分,面向 Linux 二進(jìn)制程序的靜態(tài)分析
OllyDbg - Windows 可執(zhí)行程序匯編級調(diào)試器
PANDA - 動態(tài)分析平臺
PEDA - 基于 GDB 的 Pythton Exploit 開發(fā)輔助工具,增強(qiáng)顯示及增強(qiáng)的命令
pestudio - Windows 可執(zhí)行程序的靜態(tài)分析
plasma - 面向 x86/ARM/MIPS 的交互式反匯編器
PPEE (puppy) - 專業(yè)的 PE 文件資源管理器
Process Explorer - 高級 Windows 任務(wù)管理器
Process Monitor - Windows 下高級程序監(jiān)控工具
PSTools - 可以幫助管理員實時管理系統(tǒng)的 Windows 命令行工具
Pyew - 惡意軟件分析的 Python 工具
Radare2 - 帶有調(diào)試器支持的逆向工程框架
RetDec - 可重定向的機(jī)器碼反編譯器,同時有在線反編譯服務(wù)和 API
ROPMEMU - 分析、解析、反編譯復(fù)雜的代碼重用攻擊的框架
SMRT - Sublime 3 中輔助惡意軟件分析的插件
strace - Linux 可執(zhí)行文件的動態(tài)分析
Triton - 一個動態(tài)二進(jìn)制分析框架
Udis86 - x86 和 x86_64 的反匯編庫和工具
Vivisect - 惡意軟件分析的 Python 工具
X64dbg - Windows 的一個開源 x64/x32 調(diào)試器
網(wǎng)絡(luò)
分析網(wǎng)絡(luò)交互
Bro - 支持驚人規(guī)模的文件和網(wǎng)絡(luò)協(xié)議的協(xié)議分析工具
BroYara - 基于 Bro 的 Yara 規(guī)則集
CapTipper - 惡意 HTTP 流量管理器
chopshop - 協(xié)議分析和解碼框架
Fiddler - 專為 Web 調(diào)試開發(fā)的 Web 代理
Hale - 僵尸網(wǎng)絡(luò) C&C 監(jiān)視器
Haka - 一個安全導(dǎo)向的開源語言,用于在實時流量捕獲時描述協(xié)議、應(yīng)用安全策略
INetSim - 網(wǎng)絡(luò)服務(wù)模擬。建設(shè)一個惡意軟件分析實驗室十分有用
Laika BOSS - Laika BOSS 是一種以文件為中心的惡意軟件分析和入侵檢測系統(tǒng)
Malcom - 惡意軟件通信分析儀
Maltrail - 一個惡意流量檢測系統(tǒng),利用公開的黑名單來檢測惡意和可疑的通信流量,帶有一個報告和分析界面
mitmproxy - 攔截網(wǎng)絡(luò)流量通信
Moloch - IPv4 流量捕獲,帶有索引和數(shù)據(jù)庫系統(tǒng)
NetworkMiner - 有免費版本的網(wǎng)絡(luò)取證分析工具
ngrep - 像 grep 一樣收集網(wǎng)絡(luò)流量
PcapViz - 網(wǎng)絡(luò)拓?fù)渑c流量可視化
Tcpdump - 收集網(wǎng)絡(luò)流
tcpick - 從網(wǎng)絡(luò)流量中重構(gòu) TCP 流
tcpxtract - 從網(wǎng)絡(luò)流量中提取文件
Wireshark - 網(wǎng)絡(luò)流量分析工具
內(nèi)存取證
在內(nèi)存映像或正在運行的系統(tǒng)中分析惡意軟件的工具
BlackLight - 支持 hiberfil、pagefile 與原始內(nèi)存分析的 Windows / MacOS 取證客戶端
DAMM - 基于 Volatility 的內(nèi)存中惡意軟件的差異分析
evolve - 用于 Volatility Memory 取證框架的 Web 界面
FindAES - 在內(nèi)存中尋找 AES 加密密鑰
Muninn - 一個使用 Volatility 的自動化分析腳本,可以生成一份可讀報告
Rekall - 內(nèi)存分析框架,2013 年 Volatility 的分支版本
TotalRecall - 基于 Volatility 自動執(zhí)行多惡意樣本分析任務(wù)的腳本
VolDiff - 在惡意軟件執(zhí)行前后,在內(nèi)存映像中運行 Volatility 并生成對比報告
Volatility - 先進(jìn)的內(nèi)存取證框架
VolUtility - Volatility 內(nèi)存分析框架的 Web 接口
WinDbg - Windows 系統(tǒng)的實時內(nèi)存檢查和內(nèi)核調(diào)試工具
Windows 神器
AChoir - 一個用來收集 Windows 實時事件響應(yīng)腳本集
python-evt - 用來解析 Windows 事件日志的 Python 庫
python-registry - 用于解析注冊表文件的 Python 庫
RegRipper (GitHub) - 基于插件集的工具
存儲和工作流
Aleph - 開源惡意軟件分析管道系統(tǒng)
CRITs - 關(guān)于威脅、惡意軟件的合作研究
Malwarehouse - 存儲、標(biāo)注與搜索惡意軟件
Polichombr - 一個惡意軟件分析平臺,旨在幫助分析師逆向惡意軟件。
stoQ - 分布式內(nèi)容分析框架,具有廣泛的插件支持
Viper - 分析人員的二進(jìn)制管理和分析框架
雜項
al-khaser - 一個旨在突出反惡意軟件系統(tǒng)的 PoC 惡意軟件
Binarly - 海量惡意軟件字節(jié)的搜索引擎
DC3-MWCP - 反網(wǎng)絡(luò)犯罪中心的惡意軟件配置解析框架
MalSploitBase - 包含惡意軟件利用的漏洞的數(shù)據(jù)庫
Malware Museum - 收集 20 世紀(jì)八九十年代流行的惡意軟件
Pafish - Paranoid Fish,與惡意軟件家族的行為一致,采用多種技術(shù)來檢測沙盒和分析環(huán)境的演示工具
REMnux - 面向惡意軟件逆向工程師和分析人員的 Linux 發(fā)行版和 Docker 鏡像
Santoku Linux - 移動取證的 Linux 發(fā)行版