Uma lista curada de ferramentas e de recursos para análise do malware

Análise malwares

 

Uma lista curada de ferramentas e de recursos awesome da análise do malware. Inspirado por awesome-python e awesome-php .

• Análise maliciosa incrível
  • Coleção de Malware
    • Anonimizadores
    • Honeypots
    • Malware Corpora
  • Inteligência de ameaças de código aberto
    • Ferramentas
    • Outros recursos
  • Detecção e classificação
  • Scanners on-line e Sandboxes
  • Análise de domínio
  • Malware do navegador
  • Documentos e Shellcode
  • File Carving
  • Desfuscação
  • Depuração e Engenharia Reversa
  • Rede
  • Forensics da memória
  • Artefatos do Windows
  • Armazenamento e fluxo de trabalho
  • Diversos
• Recursos
  • Livros
  • Twitter
  • De outros
• Listas Awesome Relacionadas
• Contribuindo
• obrigado

---

Coleção de Malware

Anonimizadores

Anonimizadores de tráfego da Web para analistas.

• Anonymouse.org - um anonymizer livre, baseado correia fotorreceptora.
• OpenVPN - Software VPN e soluções de hospedagem.
• Privoxy - Um servidor proxy de código aberto com alguns recursos de privacidade.
• Tor - The Onion Router, para navegar na web sem deixar vestígios do IP do cliente.

Honeypots

Armadilha e coletar suas próprias amostras.

• Conpot - honeypot ICS / SCADA.
• Cowrie - honeypot de SSH, baseado em Kippo. Dionaea - Honeypot projetado para capturar malwares.
• Glastopf - Aplicação Web honeypot.
• Honeyd - Criar um honeynet virtual.
• HoneyDrive - Pacote de Honeypot Linux distro.
• Mnemosyne - Um normalizador para dados de honeypot; Suporta Dionaea.
• Thug - Baixa interação honeyclient, para investigar sites maliciosos.

Malware Corpora

Amostras de malware coletadas para análise.

• Clean MX - Base de dados em tempo real de malware e domínios maliciosos.
• Contagio - Uma coleção de amostras e análises recentes de malware.
• Exploit Database - amostras Exploit e shellcode.
• Malshare - Repositório grande de malware ativamente desfeito de sites maliciosos. Diretamente de várias fontes on-line.
• MalwareDB - Repositório de amostras de malware.
• Open Malware Project - Amostra de informações e downloads. Anteriormente Computação Ofensiva.
• Ragpicker - Rastreador de malware baseado em plugins com funcionalidades de pré-análise e relatórios
• TheZoo - Live amostras de malware para analistas .
• Tracker h3x - Agregator para malware corpus tracker e sites de download maliciosos.
• ViruSign - Banco de dados de malware detectado por muitos programas anti-malware, exceto ClamAV.
• VirusShare - Repositório de malware, registro necessário.
• VX Vault - Coleção ativa de amostras de malware.
• Zeltser's Sources - Uma lista de fontes de amostras de malware reunidas por Lenny Zeltser.
• Fonte Zeus - Fonte para o trojan Zeus vazou em 2011.

Inteligência de ameaças de código aberto

Ferramentas

Colheita e análise de COIs.

• AbuseHelper - Uma estrutura open-source para receber e redistribuir feeds de abuso e ameaça Intel.
• AlienVault Open Threat Exchange - Compartilhe e colabore no desenvolvimento de Threat Intelligence.
• Combinar - Ferramenta para reunir indicadores de Inteligência de ameaças de fontes publicamente disponíveis.
• Fileintel - Puxe inteligência por hash de arquivo.
• Hostintel - Puxe a inteligência por host.
• IntelMQ - Uma ferramenta para CERTs para o processamento de dados de incidentes usando uma fila de mensagens.
• IOC Editor - Um editor gratuito para arquivos XML IOC.
• Ioc_writer - Biblioteca Python para trabalhar com objetos OpenIOC, de Mandiant.
• Massa Octo Spice - Anteriormente conhecido como CIF (Collective Intelligence Framework). Acumula IOCs de várias listas. Curated pela fundação dos dispositivos de CSIRT .
• MISP - Plataforma de Compartilhamento de Informações de Malware com curadoria do Projeto MISP .
• PassiveTotal - Pesquise, conecte, marque e compartilhe IPs e domínios.
• PyIOCe - Um editor Python OpenIOC.
• Threataggregator - agrega ameaças de segurança de várias fontes, incluindo algumas das listadas abaixo em outros recursos .
• ThreatCrowd - Um motor de busca de ameaças, com visualização gráfica.
• ThreatTracker - Um script Python para monitorar e gerar alertas baseados em IOCs indexados por um conjunto de motores de busca personalizados do Google.
• TIQ-test - Visualização de dados e análise estatística de feeds de Threat Intelligence.

Outros recursos

Inteligência de ameaça e recursos do COI.

• Autoshun ( lista ) - Snort plugin e blocklist.
• Bambenek Consulting Feeds - Os feeds OSINT baseados em algoritmos DGA maliciosos.
• Fidelis Barncat - Extensa base de dados de configuração de malware (deve solicitar acesso).
• Exército CI ( lista ) - Bloqueio de segurança de rede.
• Critical Stack- Free Intel Market - Agregador livre de intel com desduplicação com mais de 90 feeds e mais de 1.2M de indicadores.
• CRDF ThreatCenter - Lista de novas ameaças detectadas pelo CRDF anti-malware.
• Cybercrime tracker - Vários trackers ativos de botnet.
• FireOcter IOCs - Indicadores de Compromisso compartilhados publicamente pela FireEye.
• FireHOL IP Lists - Analítica para listas de 350 + IP com foco em ataques, malware e abuso. Evolução, Histórico de Alterações, Mapas de País, Idade dos IPs listados, Política de Retenção, Sobreposições.
• Hpfeeds - Protocolo de alimentação do Honeypot.
• Internet Storm Center (DShield) - Diário e banco de dados de incidentes pesquisáveis, com uma API da Web ( biblioteca não oficial Python ).
• Malc0de - Banco de dados de incidentes pesquisáveis.
• Malware Domain List - Pesquise e compartilhe URLs maliciosas.
• OpenIOC - Framework para compartilhamento de inteligência de ameaças.
• Palevo Blocklists - Botnet C & C listas de bloqueio.
• Proofpoint Threat Intelligence - conjuntos de regras e muito mais. (Anteriormente Ameaças Emergentes.)
• Visão geral do Ransomware - Uma lista de resumo do ransomware com detalhes, detecção e prevenção.
• STIX - Informação sobre ameaças estruturadas eXpression - Idioma padronizado para representar e compartilhar informações sobre ameaças cibernéticas. Esforços relacionados da MITRE :
  • CAPEC - Padrão de Ataque Comum Classificação e Classificação
  • CybOX - EXpression de Cyber ​​Observáveis
  • MAEC - Enumeração e Caracterização de Atributos de Malware
  • TAXII - Troca automatizada confiável de informações de indicadores
• ThreatRECON - Pesquisa de indicadores, até 1000 grátis por mês.
• Regras de Yara - repositório de regras Yara.
• ZeuS Tracker - listas de bloqueio ZeuS.

Detecção e classificação

Antivírus e outras ferramentas de identificação de malware

• AnalyzePE - Wrapper para uma variedade de ferramentas para relatórios em arquivos do Windows PE.
• Chkrootkit - Detecção de rootkit Linux local.
• ClamAV - Motor de antivírus de código aberto.
• Detect-It-Easy - Um programa para determinar tipos de arquivos.
• ExifTool - Ler, escrever e editar metadados de arquivos.
• File Scanning Framework - Solução modular, recursiva de digitalização de arquivos.
• Hashdeep - Compute digest hashes com uma variedade de algoritmos.
• Loki - Scanner baseado em host para IOCs.
• Avaria - Catálogo e comparar malware em um nível de função.
• MASTIFF - Estrutura de análise estática.
• MultiScanner - Arquitetura modular de digitalização / análise de arquivos
• Nsrllookup - Uma ferramenta para procurar hashes no banco de dados do National Software Reference Library do NIST.
• Packerid - Uma alternativa de Python multiplataforma para PEiD.
• PEV - Conjunto de ferramentas multiplataforma para trabalhar com arquivos PE, fornecendo ferramentas ricas em recursos para análise adequada de binários suspeitos.
• Rootkit Hunter - Detecta rootkits do Linux.
• Ssdeep - Cálculo de hashes difusos.
• Totalhash.py - script Python para fácil pesquisa no banco de dados TotalHash.cymru.com .
• TrID - Identificador de arquivo.
• YARA - Ferramenta de correspondência de padrões para analistas.
• Gerador de regras Yara - Gera regras yara com base em um conjunto de amostras de malware. Também contém um bom DB de strings para evitar falsos positivos.

Scanners on-line e Sandboxes

Scanners multi-AV baseados na Web e sandboxes de malware para análise automatizada.

• APK Analyzer - Análise dinâmica gratuita de APKs.
• AndroTotal - Análise on-line gratuita de APKs contra vários aplicativos antivírus móveis.
• AVCaesar - Malware.lu scanner online e repositório de malware.
• Cryptam - Analisar documentos de escritório suspeitos.
• Cuckoo Sandbox - Open Source, caixa de proteção auto-hospedada e sistema de análise automatizada.
• Cuckoo-modified - Versão modificada do Cuckoo Sandbox lançado sob a GPL. Não fundido upstream devido a preocupações legais pelo autor.
• Cuckoo-modified-api - Uma API de Python usada para controlar uma sandbox modificada por cuco.
• DeepViz - Analisador de arquivo multi-formato com classificação máquina-aprendizagem.
• Detux - Uma sandbox desenvolvida para fazer análise de tráfego de malwares Linux e capturar IOCs.
• Document Analyzer - Análise dinâmica gratuita de arquivos DOC e PDF.
• DRAKVUF - Sistema dinâmico de análise de malware.
• File Analyzer - Análise dinâmica gratuita de arquivos PE.
• Firmware.re - Desembala, faz a varredura e analisa praticamente qualquer pacote de firmware.
• Análise híbrida - ferramenta de análise de malware on-line, alimentado por VxSandbox.
• IRMA - Uma plataforma de análise assíncrona e personalizável para arquivos suspeitos.
• Joe Sandbox - Deep malware análise com Joe Sandbox.
• Jotti - Free online multi-AV scanner.
• Limon - Sandbox para Analisar Malwares Linux
• Malheur - Análise automatizada automática do comportamento do malware.
• Malware config - Extrair, decodificar e exibir online as configurações de malwares comuns.
• Malwr - Análise gratuita com uma instância Cuckoo Sandbox online.
• MASTIFF Online - Análise estática on-line de malware.
• Metadefender.com - Digitalize um arquivo, hash ou endereço IP para malware (gratuito)
• NetworkTotal - Um serviço que analisa os arquivos pcap e facilita a detecção rápida de vírus, worms, trojans e todos os tipos de malware usando o Suricata configurado com o EmergingThreats Pro.
• Noriben - Usa Sysinternals Procmon para coletar informações sobre malware em um ambiente em área restrita.
• PDF Examiner - Analisar arquivos suspeitos PDF.
• ProcDot - Um kit gráfico de ferramentas de análise de malware.
• Recomposer - Um script de ajuda para carregar com segurança binários para sites de área de segurança.
• Sand droid - Automático e completo sistema de análise de aplicativos Android.
• SEE - Sandboxed Execution Environment (SEE) é um framework para a construção de automação de teste em ambientes protegidos.
• URL Analyzer - Análise dinâmica gratuita de arquivos de URL.
• VirusTotal - Análise on-line gratuita de amostras de malware e URLs
• Visualize_Logs - Biblioteca de visualização de código aberto e ferramentas de linha de comando para logs. (Cuco, Procmon, mais por vir ...)
• Zeltser's List - Free sandboxes automatizados e serviços, compilado por Lenny Zeltser.

Análise de domínio

Inspecione domínios e endereços IP.

• Desenmascara.me - Ferramenta de um clique para recuperar o máximo de metadados possível para um site e avaliar sua boa reputação.
• Dig - escavação em linha livre e outras ferramentas da rede.
• Dnstwist - Mecanismo de permuta de nomes de domínio para detecção de squatting typo, phishing e espionagem corporativa.
• IPinfo - Reúna informações sobre um IP ou domínio pesquisando recursos on-line.
• Ferramenta Machinae - OSINT para coletar informações sobre URLs, IPs ou hashes. Semelhante ao Automator.
• Mailchecker - Biblioteca de detecção temporária de e-mails em vários idiomas.
• MaltegoVT - Maltego transforma para a API VirusTotal. Permite pesquisa de domínio / IP e pesquisa de hashes de arquivos e relatórios de varredura.
• Multi rbl - Múltiplos DNS lista negra e encaminhar confirmado DNS pesquisa reversa sobre mais de 300 RBLs.
• SenderBase - Pesquisa de IP, domínio ou proprietário da rede.
• SpamCop - Lista de bloqueios de spam baseada em IP.
• SpamHaus - Lista de bloqueios baseada em domínios e IPs.
• Sucuri SiteCheck - Livre Malware do Web site e varredor da segurança .
• TekDefense Automater - ferramenta OSINT para coletar informações sobre URLs, IPs ou hashes.
• URLQuery - Scanner de URL grátis.
• Whois - DomainTools pesquisa whois online grátis.
• Lista de Zeltser - ferramentas em linha livres para pesquisar Web site maliciosos, compilado por Lenny Zeltser.
• ZScalar Zulu - Zulu Analisador de Risco de URLs.

Malware do navegador

Analise URLs maliciosos. Consulte também as secções de análise de domínio e documentos e shellcode .

• Firebug - extensão do Firefox para desenvolvimento web.
• Java Decompiler - Decompile e inspecionar aplicativos Java.
• Java IDX Parser - Analisa arquivos de cache Java IDX.
• JSDetox - Ferramenta de análise de malware JavaScript.
• Jsunpack-n - Um descompactador javascript que emula a funcionalidade do navegador.
• Krakatau - Java decompiler, montador e desmontador.
• Malzilla - Analisar páginas web maliciosas.
• RABCDAsm - Um "Desassemblador Robusto de Bytecode ActionScript."
• Swftools - Ferramentas para trabalhar com arquivos Adobe Flash.
• Xxxswf - Um script Python para analisar arquivos Flash.

Documentos e Shellcode

Analisar JS e shellcode maliciosos de documentos PDF e Office. Consulte também a seção de malware do navegador.

• AnalyzePDF - Uma ferramenta para analisar PDFs e tentar determinar se eles são maliciosos.
• Box-js - Uma ferramenta para estudar malware JavaScript, com suporte JScript / WScript e emulação ActiveX.
• DiStorm - Disassembler para analisar shellcode malicioso.
• JS Beautifier - JavaScript desembalagem e deobfuscation.
• JS Deobfuscator - Deobfuscate Javascript simples que usam eval ou document.write para esconder seu código.
• Libemu - Biblioteca e ferramentas para a emulação shellcode x86.
• Malpdfobj - Desconstruir PDFs maliciosos em uma representação JSON.
• OfficeMalScanner - Procurar rastreios maliciosos em documentos do MS Office.
• Olevba - Um script para analisar documentos OLE e OpenXML e extrair informações úteis.
• Origami PDF - Uma ferramenta para analisar PDFs maliciosos, e muito mais.
• PDF Tools - pdfid, pdf-parser, e mais de Didier Stevens.
• PDF X-Ray Lite - Uma ferramenta de análise PDF, a versão backend-free de PDF X-RAY.
• Peepdf - Ferramenta Python para explorar possíveis PDFs maliciosos.
• QuickSand - QuickSand é um framework C compacto para analisar documentos suspeitos de malware para identificar exploits em fluxos de diferentes codificações e para localizar e extrair executáveis ​​incorporados.
• Spidermonkey - mecanismo JavaScript do Mozilla, para depuração de JS malicioso.

File Carving

Para extrair arquivos de imagens de disco e memória.

• Bulk_extractor - Ferramenta de escultura de arquivo rápida.
• EVTXtract - Carve Windows Event Log arquivos de dados binários brutos.
• Foremost - File carving ferramenta projetada pela Força Aérea dos EUA.
• Hachoir - Uma coleção de bibliotecas Python para lidar com arquivos binários.
• Escalpelo - Outra ferramenta de escultura de dados.

Desfuscação

Reverter XOR e outros métodos de ofuscação de código.

• Balbuzard - Uma ferramenta de análise de malware para reverter a ofuscação (XOR, ROL, etc) e muito mais.
• De4dot - .NET deobfuscator e unpacker.
• Ex_pe_xor & iheartxor - Duas ferramentas de Alexander Hanel para trabalhar com arquivos codificados XOR de um único byte.
• FLOSS - O FireEye Labs Obfuscated String Solver usa avançadas técnicas de análise estática para desobedecer automaticamente strings de malware binários.
• NoMoreXOR - Adivinha uma chave XOR de 256 bytes usando a análise de freqüência.
• PackerAttacker - Um extractor de código escondido genérico para malware do Windows.
• unpacker - Automated unpacker malware para malwares do Windows com base em WinAppDbg.
• Unxor - Guess XOR chaves usando ataques conhecidos de texto simples.
• VirtualDeobfuscator - Ferramenta de engenharia reversa para wrappers de virtualização.
• XORBruteForcer - Um script Python para forçar bruta chaves XOR de um único byte.
• XORSearch & XORStrings - Um par de programas de Didier Stevens para encontrar dados XORed.
• Xortool - Guess comprimento da chave XOR, bem como a própria chave.

Depuração e Engenharia Reversa

Desassembladores, depuradores e outras ferramentas de análise estática e dinâmica.

• Angr - Estrutura de análise binária agnóstica desenvolvida no Seclab da UCSB.
• Bamfdetect - Identifica e extrai informações de bots e outros malwares.
• BAP - Multiplataforma e open source (MIT) estrutura de análise binária desenvolvida no Cylab da CMU.
• BARF - Multiplataforma, open source Análise binária e Reverse engineering Framework.
• Binnavi - Análise binária IDE para engenharia reversa com base na visualização de gráficos.
• Binário ninja - Uma plataforma de engenharia reversa que é uma alternativa à IDA.
• Binwalk - Ferramenta de análise de firmware.
• Bokken - GUI para Pyew e Radare. ( Espelho )
• Capstone - Estrutura de desmontagem para análise binária e reversão, com suporte para muitas arquiteturas e ligações em vários idiomas.
• Codebro - Navegador de código baseado na Web usando clang para fornecer análise básica de código.
• DnSpy - editor de assembly do .NET, decompiler e depurador.
• Evan's Debugger (EDB) - Um depurador modular com uma GUI Qt.
• Fibratus - Ferramenta para exploração e rastreamento do kernel do Windows.
• FPort - Relatórios abrem portas TCP / IP e UDP em um sistema ao vivo e os mapeia para o aplicativo proprietário.
• GDB - O depurador GNU.
• GEF - GDB Enhanced Features, para exploradores e engenheiros reversos.
• Hackers-grep - Um utilitário para procurar seqüências de caracteres em executáveis ​​PE incluindo importações, exportações e símbolos de depuração.
• IDA Pro - Desassemblador e depurador do Windows, com uma versão de avaliação gratuita.
• Imunidade Debugger - Debugger para análise de malware e muito mais, com uma API Python.
• Ltrace - Análise dinâmica para executáveis ​​do Linux.
• Objdump - Parte de GNU binutils, para análise estática de binários Linux.
• OllyDbg - Um depurador de nível de montagem para executáveis ​​do Windows.
• PANDA - Plataforma de Arquitetura-Análise Dinâmica Neutra
• PEDA - Python Exploit Development Assistance para GDB, uma exibição aprimorada com comandos adicionados.
• Pestudio - Executa a análise estática de executáveis ​​do Windows.
• Plasma - Desmontagem interativa para x86 / ARM / MIPS.
• PPEE (filhote de cachorro) - um explorador profissional do arquivo do PE para verificadores, investigadores do malware e aqueles que querem inspecionar statically arquivos do PE mais detalhadamente.
• Process Explorer - Gerenciador de tarefas avançado para Windows.
• [Process Hacker] ( http://processhacker.sourceforge.net/ ) - Ferramenta que monitora os recursos do sistema
• Process Monitor - Ferramenta de monitoramento avançada para programas do Windows.
• PSTools - Ferramentas de linha de comando do Windows que ajudam a gerenciar e investigar sistemas ativos.
• Pyew - Ferramenta Python para análise de malware.
• Radare2 - Estrutura de engenharia reversa, com suporte a depuradores.
• RegShot - Registry compara utilitário que compara snapshots.
• RetDec - Decompilador de código máquina recarregável com um serviço de descompilação on-line e API que você pode usar em suas ferramentas .
• ROPMEMU - Um framework para analisar, dissecar e descompilar ataques complexos de reutilização de código.
• SMRT - Sublime Malware Research Tool, um plugin para Sublime 3 para ajudar com a análise de malware.
• Strace - Análise dinâmica para executáveis ​​do Linux.
• Triton - Uma estrutura de análise binária dinâmica (DBA).
• Udis86 - Biblioteca e ferramenta de desmontagem para x86 e x86_64.
• Vivisect - Ferramenta Python para análise de malware.
• X64dbg - Um depurador x64 / x32 de código aberto para janelas.

Rede

Analise as interações de rede.

• Bro - Protocolo analisador que opera em escala incrível; Protocolos de arquivo e de rede.
• BroYara - Use as regras de Yara de Bro.
• CapTipper - Explorador de tráfego HTTP malicioso.
• Chopshop - Análise de protocolos e framework de decodificação.
• Fiddler - Intercepting web proxy projetado para "web depuração."
• Hale - Botnet C & C monitor.
• Haka - Uma linguagem orientada a segurança de código aberto para descrever protocolos e aplicar políticas de segurança no tráfego (ao vivo) capturado.
• INetSim - Emulação de serviços de rede, útil na construção de um laboratório de malware.
• Laika BOSS - Laika BOSS é uma análise de malware centrada em arquivos e sistema de detecção de intrusão.
• Malcom - Malware Communications Analyzer.
• Maltrail - Um sistema malicioso de detecção de tráfego, utilizando listas (pretas) publicamente disponíveis contendo trilhas maliciosas e / ou geralmente suspeitas e apresentando uma interface de relatórios e análise.
• Mitmproxy - interceptar o tráfego de rede em tempo real.
• Moloch - captura de tráfego IPv4, indexação e sistema de banco de dados.
• NetworkMiner - ferramenta de análise forense de rede, com uma versão gratuita.
• Ngrep - Pesquisa através de tráfego de rede como grep.
• PcapViz - Topologia de rede e visualizador de tráfego.
• Python ICAP Yara - Um servidor ICAP com scanner yara para URL ou conteúdo.
• Tcpdump - Recolher tráfego de rede.
• Tcpick - Trach e reassemble os fluxos TCP do tráfego de rede.
• Tcpxtract - Extrai arquivos do tráfego de rede.
• Wireshark - A ferramenta de análise de tráfego de rede.

Forensics da memória

Ferramentas para dissecar malware em imagens de memória ou sistemas em execução.

• BlackLight - Windows / MacOS forensics cliente suportando hiberfil, pagefile, análise de memória bruta
• DAMM - Análise Diferencial de Malware na Memória, construída sobre a Volatilidade
• Evoluir - Interface web para a Volatility Memory Forensics Framework.
• FindAES - Localize chaves de criptografia AES na memória.
• Muninn - Um script para automatizar partes da análise usando Volatilidade e criar um relatório legível.
• Rekall - Estrutura de análise de memória, bifurcada da Volatility em 2013.
• TotalRecall - Script baseado em Volatility para automatizar várias tarefas de análise de malware.
• VolDiff - Executa volatilidade em imagens de memória antes e depois da execução de malware e alterações de relatório.
• Volatilidade - Estrutura forense de memória avançada.
• VolUtility - Interface Web para a estrutura da Análise de Memória de Volatilidade.
• WinDbg - Inspeção de memória ao vivo e depuração de kernel para sistemas Windows.

Artefatos do Windows

• AChoir - Um script de resposta de incidente ao vivo para a coleta de artefatos do Windows.
• Python-evt - biblioteca Python para analisar logs de eventos do Windows.
• Python-registry - biblioteca Python para analisar arquivos de registro.
• RegRipper ( GitHub ) - Ferramenta de análise de registro baseada em plugins .

Armazenamento e fluxo de trabalho

• Aleph - Sistema de Pipeline de Análise de Malware OpenSource.
• CRITs - Collaborative Research Into Threats, um repositório de malware e ameaças.
• Malwarehouse - Armazene, marque e procure malware.
• Polichombr - Uma plataforma de análise de malware projetada para ajudar os analistas a reverter malwares colaborativamente.
• StoQ - Framework de análise de conteúdo distribuído com extenso suporte de plugins, de entrada para saída, e tudo mais.
• Viper - Uma estrutura binária de gestão e análise para analistas e pesquisadores.

Diversos

• Al-khaser - Um malware PoC com boas intenções que visa enfatizar sistemas anti-malware.
• Binarly - Motor de busca de bytes em um grande corpus de malware.
• DC3-MWCP - Estrutura do Malware Configuration Parser do Defense Cyber ​​Crime Center.
• MalSploitBase - Um banco de dados contendo explorações usadas por malware.
• Malware Museum - Coleção de programas de malware que foram distribuídos nos anos 80 e 90.
• Pafish - Paranoid Fish, uma ferramenta de demonstração que emprega várias técnicas para detectar sandboxes e ambientes de análise da mesma forma que as famílias de malware.
• REMnux - Distribuição Linux e imagens do docker para engenharia reversa e análise de malware.
• Santoku Linux - Distribuição Linux para forense móvel, análise de malware e segurança.

Recursos

Livros

Material essencial de leitura de análise de malware.

• Cookbook do analista de malware e DVD - ferramentas e técnicas para combater código malicioso.
• Análise Prática de Malware - O Guia Prático para Dissecar Software Malicioso.
• Engenharia Reversa Prática - Engenharia Reversa Intermediária
• Real Forensics Digital - Segurança de Computadores e Resposta a Incidentes
• The Art of Memory Forensics - Detectando Malware e Ameaças em Windows, Linux e Mac Memory.
• O Livro Pro do IDA - O Guia Não Oficial do Desassemblador Mais Popular do Mundo.
• The Rootkit Arsenal - The Rootkit Arsenal: Escape e evasão nos cantos escuros do sistema

Twitter

Algumas contas relevantes do Twitter.

• Adamb @Hexacorn
• Andrew Case @attrc
• Binni Shah @binitamshah
• Claudio @botherder
• Dustin Webber @ mephux
• Glenn @hiddenillusion
• Jekil @jekil
• Jurriaan Bremer @skier_t
• Lenny Zeltser @lennyzeltser
• Liam Randall @hectaman
• Mark Schloesser @repmovsb
• Michael Ligh (MHL) @ iMHLv2
• Monnappa @ monnappa22
• Abra o Malware @OpenMalware
• Richard Bejtlich @taosecurity
• Volatilidade @volatilidade

De outros

• Notas do APT - Uma coleção de artigos e notas relacionadas a Ameaças Persistentes Avançadas.
• Formatos de arquivo posters - Visualização agradável do formato de arquivo comumente usado (incluindo PE & ELF).
• Honeynet Project - ferramentas, papéis e outros recursos do Honeypot.
• Kernel Mode - Uma comunidade ativa dedicada à análise de malware e ao desenvolvimento do kernel.
• Malicious Software - Malware blog e recursos por Lenny Zeltser.
• Malware Analysis Search - Motor de busca personalizado do Google a partir de Corey Harrell .
• Tutoriais de Análise de Malware - Os Tutoriais de Análise de Malware pelo Dr. Xiang Fu, um ótimo recurso para aprender a análise prática de malware.
• Malware Samples and Traffic - Este blog foca o tráfego de rede relacionado a infecções por malware.
• Análise Prática Malware Starter Kit - Este pacote contém a maioria dos softwares referenciados no livro Practical Malware Analysis.
• RPISEC Malware Analysis - Estes são os materiais de curso utilizados no curso de Análise de Malware no Instituto Politécnico Rensselaer durante o outono de 2015.
• WindowsIR: Malware - Página de Harlan Carvey sobre Malware.
• Especificação do Registro do Windows - especificação do formato do arquivo do Registro do Windows.
• / R / csirt_tools - Subreddit para ferramentas e recursos CSIRT, com um toque de análise de malware .
• / R / Malware - O subreddit de malware.
• / R / ReverseEngineering - Subreddit de engenharia reversa, não limitado a apenas malware.

Listas Awesome Relacionadas

• Segurança do Android
• AppSec
• CTFs
• forense
• "Hacking"
• Honeypots
• Segurança do sistema de controle industrial
• Incidente-Resposta
• Infosec
• Ferramentas PCAP
• Pentesting
• Segurança
• Inteligência de ameaças

Contribuindo

Solicitações de pull e problemas com sugestões são bem-vindos! Leia as diretrizes de CONTRIBUIÇÃO antes de enviar um PR.

obrigado

Esta lista foi tornada possível por:

• Lenny Zeltser e outros colaboradores para desenvolver REMnux, onde eu encontrei muitas das ferramentas nesta lista;
• Michail Hale Ligh, Steven Adair, Blake Hartstein e Mather Richard por escrever Cookbook do Analista de Malware , que foi uma grande inspiração para a criação da lista;
• E todos os outros que enviaram solicitações de sugestões ou links sugeridos para adicionar aqui!