恶意代码分析-工具收集

  • A+
所属分类:安全工具

转自:https://www.cnblogs.com/17bdw/p/10254565.html#_label1_0

阅览目录

  • 恶意代码分析实战

  • 恶意软件自动化分析工具套件

    • 文档分析工具

    • JavaScript分析工具

    • 系统&文件监视工具

    • shellcode分析工具

    • 网络分析工具

    • URL分析工具

    • SWF分析工具

    • 内存取证分析工具

    • 调试器

    • 反汇编工具

    • 十六进制编辑器

    • 查壳工具

    • DNS&IP信息搜集工具

    • PE分析工具

    • 虚拟机镜像

 


恶意代码分析-工具收集


恶意代码分析实战

Strings:字符串查找工具

https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings

Resource Hacker工具:查看资源节内容

http://www.angusj.com


恶意软件自动化分析工具套件

恶意软件分析套件:https://github.com/Cherishao/Analysis-Tools

  • PeStudio:windows可执行二进制文件静态分析取证工具

  • https://www.winitor.com/tools/PeStudio/Current/PeStudio.zip

  • MASTIFF:APT攻击样本静态分析工具

  • http://sourceforge.net/projects/mastiff/files/latest/download

  • COMODO:科摩多未知文件分析工具

  • https://consumer.valkyrie.comodo.com/apt_tool/download/UnknownFileHunter.exe

  • VirusTotal:在线病毒,恶意软件,url扫描器

  • https://www.virustotal.com/

  • ThreatTrack:在线病毒,恶意软件,url扫描器

  • https://www.virustotal.com/

  • virscan:在线病毒,恶意软件,url扫描器

  • http://www.virscan.org/

  • threatexpert:在线病毒,恶意软件,url扫描器

  • http://www.threatexpert.com/filescan.aspx

  • malwareviz:在线病毒,恶意软件,url扫描器

  • https://www.malwareviz.com/

  • vicheck:在线病毒,恶意软件,url扫描器

  • https://www.vicheck.ca/

  • metadefender:在线病毒,恶意软件,url扫描器

  • https://www.metadefender.com/#!/scan-file

===================================================


文档分析工具

  • OfficeMalScanner:MS Office文档检测工具

  • http://www.reconstructer.org/code/OfficeMalScanner.zip

  • OfficeMalScanner:微软官方的office文档二进制格式查看工具

  • http://download.microsoft.com/download/1/2/7/127ba59a-4fe1-4acd-ba47-513ceef85a85/offvis.zip

  • Cryptam Document Scanner:在线的恶意文档扫描器

  • http://www.malwaretracker.com/doc.php

  • PDF Examiner:在线的PDF文档扫描器

  • http://www.malwaretracker.com/pdf.php

  • Pdf Tools:pdf文档解析工具集

  • https://blog.didierstevens.com/programs/pdf-tools/

  • PDF X-RAY:多pdf文档检测工具

  • https://github.com/9b/pdfxray_lite

  • https://github.com/9b/pdfxray_public

  • peepdf:pdf文档解析分析工具

  • http://eternal-todo.com/files/pdf/peepdf/peepdf_0.3.zip

  • origami:pdf文档解析分析工具

  • https://code.google.com/archive/p/origami-pdf/

  • PDF Stream Dumper:pdf文档检测工具

  • http://sandsprite.com/blogs/index.php?uid=7&pid=57

===================================================


JavaScript分析工具

  • Firebug:开源的web开发工具,用于实时的编辑,调试,监视CSS,HTML,JavaScript代码

  • https://getfirebug.com/downloads

  • jsunpack-n:解码javascript脚本的工具

  • http://jsunpack-n.googlecode.com/svn/trunk/

  • JavaScript Beautifier:美化javascript代码的工具

  • http://jsbeautifier.org/

  • http://javascriptbeautifier.com/

  • https://github.com/beautify-web/js-beautify

  • js deobfuscator:javascript去混淆工具

  • https://addons.cdn.mozilla.net/user-media/addons/10345/javascript_deobfuscator-2.0.4-fx.xpi?filehash=sha256%3Aef2dcc00084ff7a9b128d8174906cf4606fcf353aae2c4b7b41627aeff8eaefa

  • Web Inspector:OSX或者ios系统的javascript代码调试工具

  • https://developer.apple.com/safari/tools/

  • Rhino:基于java的javascript引擎实现

  • https://github.com/downloads/mozilla/rhino/rhino1_7R4.zip

  • SpiderMonkey 24:火狐24中的Javascript引擎

  • https://ftp.mozilla.org/pub/mozilla.org/js/mozjs-24.2.0.tar.bz2

  • Malzilla:高级恶意代码检测工具,用于检测基于web的漏洞利用,对javascript代码进行解码,去混淆

  • https://sourceforge.net/projects/malzilla/files/Malzilla Win32 Binary package/

===================================================


系统&文件监视工具

  • Sysinternals Suite:Windows免费的工具套件,涵盖-文件磁盘工具,网络工具,进程工具,安全工具,系统信息工具,其他类型工具等等

  • http://download.sysinternals.com/files/SysinternalsSuite.zip

  • Regshot:开源(LGPL)的注册表静态比较工具

  • https://nchc.dl.sourceforge.net/project/regshot/regshot/1.9.0/Regshot-1.9.0.7z

  • CaptureBat:Win32平台下应用程序行为分析工具

  • https://www.honeynet.org/files/CaptureBAT-Setup-2.0.0-5574.exe

  • SysAnalyzer:恶意代码行为分析工具

  • https://github.com/dzzie/SysAnalyzer/archive/master.zip

  • Process Hacker:开源的进程浏览,内存编辑工具

  • http://processhacker.googlecode.com/files/processhacker-2.33-bin.zip

  • GMER:AntiRookit工具

  • http://www.gmer.net/

  • ProcDot:恶意软件行为分析工具

  • windows:http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_windows.zip

  • linux:http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_linux.zip

  • Radiography:windows平台下的取证工具

  • http://sbdtools.googlecode.com/files/RadioGraPhyV2.zip

  • RunScanner:系统隐藏信息扫描工具

  • http://download.runscanner.net/runscanner.exe

  • Noriben:沙箱

  • https://github.com/Rurik/Noriben

  • API Monitor:API调用情况监视工具

  • http://www.rohitab.com/download/api-monitor-v2r13-x86-x64.zip

===================================================


shellcode分析工具

  • ShellDetect:shellcode检测工具

  • http://securityexploded.com/getsoftware_direct.php?id=4501

  • libmu:用C语言实现的基于x86的shellcode检测的库

  • https://ncu.dl.sourceforge.net/project/nepenthes/libemu development/0.2.0/libemu-0.2.0.tar.gz

  • Shellcode2Exe:Shellcode转exe工具

  • http://sandsprite.com/shellcode_2_exe.php

  • ConvertShellcode:将shellcode转换为x86汇编指令,便于理解

  • https://zeltser.com/convert-shellcode-to-assembly/

  • Shellcode(Malware-Tracker):shellcode在线分析服务

  • http://www.malwaretracker.com/shellcode.php

  • JMP2IT:将EIP的控制权转移到shellcode在文件中的指定偏移处,便于暂停对恶意代码进行分析取证

  • https://github.com/adamkramer/jmp2it/

===================================================


网络分析工具

  • WireShark:网络协议抓包分析工具

  • http://wiresharkdownloads.riverbed.com/wireshark/win32/WiresharkPortable-1.12.1.paf.exe

  • FakeNet:用于Windows恶意软件分析的网络仿真工具

  • https://sourceforge.net/projects/fakenet/

  • INetSim:模拟各种Internet交互的软件,目前支持的协议有HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、DNS、FTP/FTPS、TFTP、IRC,以及NTP等

  • http://www.inetsim.org/downloads/inetsim-1.2.5.tar.gz

  • ncat:TCP/IP瑞士军刀,支持端口扫描,标志提取,端口转发/代理,文件传输,蜜罐

  • https://nmap.org/ncat/

  • APT Protocol Decoders:各种解码器

  • http://www.malwaretracker.com/decoder_base64.php

  • http://www.malwaretracker.com/decoder_comment_des.php

  • http://www.malwaretracker.com/decoder_joy.php

  • http://www.malwaretracker.com/decoder_binanen.php

  • http://www.malwaretracker.com/decoder_miniasp.php

  • Fake DNS:基于正则表达式的python中间人DNS服务器,支持DNS的重绑定攻击

  • https://github.com/Crypt0s/FakeDns

  • Apate DNS:图形化的DNS响应控制工具

  • https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip

  • Fake SMTP:SMTP服务器伪造工具,用于测试应用程序的电子邮件功能

  • http://nilhcem.github.io/FakeSMTP/downloads/fakeSMTP-latest.zip

  • Honeyd:小型的网络蜜罐

  • http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz

  • tcp dump:强大的命令行网络数据包分析工具

  • http://www.tcpdump.org/release/tcpdump-4.6.2.tar.gz

  • Fiddler:HTTP/HTTPS抓包工具

  • http://www.telerik.com/download/fiddler/fiddler4

  • BurpSuite:渗透测试中使用广泛的一款抓包工具,还带有web漏洞扫描,爬虫,暴力破解等功能

  • http://portswigger.net/burp/downloadfree.html

  • Network Miner:跨平台的网络取证分析工具

  • http://sourceforge.net/projects/networkminer/files/latest/download

  • Ngrep:网路数据包嗅探分析工具

  • http://prdownloads.sourceforge.net/ngrep/ngrep-1.45-win32-bin.zip?download

  • NetWitness:原始网络数据包分析工具

  • http://download.cnet.com/NetWitness-Investigator/3001-2085_4-10905215.html?hlndr=1

===================================================


URL分析工具

  • HTTP Viewer:http请求工具

  • http://www.rexswain.com/httpview.html

  • UrlQuery:在线的url测试分析服务

  • https://urlquery.net/index.php

  • URL Void:网站域名黑名单扫描,方便检测可能有危险的网站-存在恶意软件或者欺诈活动的

  • http://www.urlvoid.com/

  • Norton Safe Web:诺顿提供的网站安全性检测服务

  • https://safeweb.norton.com/

  • vURL:快速安全的检测恶意或者可疑网站

  • https://vurldissect.co.uk/

  • Spondulas:浏览器模拟器/解析器,用于检索和捕获存在恶意软件的页面

  • https://sourceforge.net/projects/spondulas/?source=typ_redirect

  • VirusTotal:在线URL检测服务

  • https://www.virustotal.com/

  • PhishTank:检测钓鱼页面

  • http://www.phishtank.com/

  • netrenderer:显示IE 5,6,7,8,9,10,11是如何呈现页面的

  • http://netrenderer.com/

===================================================


SWF分析工具

  • SWFTools:用于处理Adobe Flash文件(SWF)的实用程序集合

  • windows:http://www.swftools.org/swftools-2013-04-09-1007.exe

  • linux:http://www.swftools.org/swftools-2013-04-09-1007.tar.gz

  • SWF Investigator:SWF检测工具,帮助Flash开发者全面分析SWF文件中元素,资源,AMF通讯,指令集装配方式,AS3库等

  • windows:http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_win_update_052213.exe

  • osx:http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_mac_update_052213.zip

  • SWF decompiler:领先的Flash反编译器&Flash转HTML5工具

  • windows:http://www2.sothink.com/download/swfdec.zip

  • osx:http://www2.sothink.com/download/swfdec-mac.dmg

  • SWFRETools:Adobe Flash Player漏洞分析,恶意SWF文件分析工具集合

  • https://github.com/downloads/sporst/SWFREtools/swfretools_140.zip

  • Flasm:SWF反汇编工具

  • windows:http://www.nowrap.de/download/flasm16win.zip

  • osx:http://www.nowrap.de/download/flasm16mac.tgz

  • linux:http://www.nowrap.de/download/flasm16linux.tgz

  • Flare:提取SWF中所有ActionScript脚本工具

  • windows:http://www.nowrap.de/download/flare06doswin.zip

  • osx:http://www.nowrap.de/download/flare06mac.tgz

  • linux:http://www.nowrap.de/download/flare06linux.tgz

  • solaris:http://www.nowrap.de/download/flare06solaris.tgz

  • xxxswf:用于扫描,压缩,解压缩,分析Flash SWF文件的脚本

  • https://bitbucket.org/Alexander_Hanel/xxxswf/get/244e32357dd5.zip

===================================================


内存取证分析工具

  • Volatility:支持windows,linux,mac os,android等平台的内存取证框架

  • https://github.com/volatilityfoundation/volatility

  • Volatilitux:对于Linux系统来说,Volatilitux相当于Volatility

  • https://code.google.com/archive/p/volatilitux/downloads

  • Linux Memory Extractor[LIME]:可加载内核模块(LKM),允许从Linux和基于Linux的Android设备获取RAM内存

  • https://github.com/504ensicsLabs/LiME

  • MemoryAnalysis:可加载内核模块(LKM),允许从Linux和基于Linux的Android设备获取RAM内存

  • https://github.com/504ensicsLabs/LiME

  • Memoryze:火眼公司打造的内存取证软件

  • https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-memoryze.zip

  • Redline:火眼公司推出主要用于用户主机取证调查的工具

  • https://www.fireeye.com/services/freeware/redline.html

===================================================


调试器

  • Ollydbg:win32平台下的ring3调试器

  • 2.0:http://www.ollydbg.de/odbg200.zip

  • 1.1:http://www.ollydbg.de/odbg110.zip

  • Immunity Debugger:win32平台下的漏洞调试,恶意代码分析,逆向工程的利器

  • http://debugger.immunityinc.com/getID.py?hash=705393dfcc9066537a1141a1c1cca2790bdb830a

  • Windbg:微软官方提供的用户以及内核模式调试利器

  • https://www.microsoft.com/en-us/download/confirmation.aspx?id=8279

  • GDB:Linux平台下的调试器

  • http://ftp.gnu.org/gnu/gdb/

  • EDB:Linux平台下的调试器

  • http://codef00.com/downloads/debugger-0.9.20.tgz

===================================================


反汇编工具

  • IDA Pro:跨平台的反汇编神器

  • https://www.hex-rays.com/products/ida/support/download_freeware.shtml

  • Hopper:支持Windows,Linux,OSX等平台下应用程序的逆向工程

  • OSX:https://d1f8bh81yd16yv.cloudfront.net/Hopper-3.13.2.zip

  • Ubuntu:http://www.hopperapp.com/HopperWeb/downloads_linux/hopperv3-3.5.9.1.deb

  • Fedora:http://www.hopperapp.com/HopperWeb/downloads_linux/Hopper-3.5.9.1-1.x86_64.rpm

  • Capstone:轻量级的多平台多架构支持的反汇编框架。支持包括ARM,ARM64,MIPS和x86/x64平台

  • http://www.capstone-engine.org/download.html

  • Cerbero Profiler:恶意文档格式分析工具

  • windows:https://store.cerbero.io/static/downloads/profiler/profiler_setup_2.2.0.exe

  • osx:https://store.cerbero.io/static/downloads/profiler/Profiler_2.2.0.dmg

  • linux:https://store.cerbero.io/static/downloads/profiler/profiler_2.2.0.tar.gz

===================================================


十六进制编辑器

  • Hexplorer:Windows平台下的十六进制编辑器

  • https://www.hex-rays.com/products/ida/support/download_freeware.shtml

  • Capstone:轻量级的多平台多架构支持的反汇编框架。支持包括ARM,ARM64,MIPS和x86/x64平台

  • http://www.capstone-engine.org/download.html

  • 010Editor:跨平台的文件格式分析编辑工具

  • http://download.sweetscape.com/010EditorWin32Installer702.exe

  • BinText:文本文件扫描工具

  • http://b2b-download.mcafee.com/products/tools/foundstone/bintext303.zip

  • Hackman Suite:十六进制编辑器

  • http://www.technologismiki.com/uplx/hack930.zip

  • HXD:十六进制编辑器

  • http://mh-nexus.de/en/downloads.php?product=HxD

===================================================


查壳工具

  • RDG Packer Detector:查壳工具

  • http://www.rdgsoft.net/downloads/RDG Packer Detector v0.7.3.2014.rar

  • Peid:查壳工具

  • http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml

  • Language 2000:查壳工具

  • https://farrokhi.net/language/

  • Exescan:PE文件检测工具

  • http://securityexploded.com/getsoftware_direct.php?id=4011

  • Quick Unpack:通用脱壳工具

  • http://depositfiles.com/files/7w625zzad

===================================================


DNS&IP信息搜集工具

  • MXTOOLBOX:快速,准确的网络诊断查找,搜集所有的MX记录,DNS,黑名单和SMTP诊断的一个集成工具

  • http://mxtoolbox.com/SuperTool.aspx#

  • CyINT Internet Utilities:提供实时的网络信息搜集

  • https://cy-int.com/inputs

  • Domain Tools:Whois信息查询系统

  • http://www.domaintools.com/products/domain-research/

  • Robtex:Whois信息查询系统

  • https://www.robtex.com/

  • Network-Tools:域名/IP信息收集工具

  • http://network-tools.com/

  • DomainDossier:域名/IP信息收集工具

  • http://centralops.net/co/DomainDossier.aspx

  • dns lookup:DNS记录查询系统

  • http://www.dnsqueries.com/en/dns_lookup.php

  • dns lookup:域名/IP信息综合查询系统

  • http://www.mydnstools.info/

  • dnstools:DNS查询系统

  • https://www.ultratools.com/dnsTools

  • dnsstuff:网站信息综合查询工具

  • http://www.dnsstuff.com/tools

===================================================


PE分析工具

  • PE Insider:可执行文件PE格式查看工具

  • http://cerbero.io/static/tools/peinsider_setup.exe

  • CFF Explorer:PE文件格式编辑工具

  • http://www.ntcore.com/files/ExplorerSuite.exe

  • LordPe:PE文件格式编辑工具

  • http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip

  • PeView:PE文件格式编辑工具

  • http://wjradburn.com/software/PEview.zip

  • PE Explorer:PE文件格式编辑工具

  • http://www.heaventools.com/download/pexsetup.exe

  • ChimPrec:导入表重建工具

  • http://www.woodmann.com/collaborative/tools/images/Bin_CHimpREC_2008-6-24_13.59_CHimpREC.zip

  • Malcode Analysis Pack:恶意代码分析工具包

  • http://sandsprite.com/CodeStuff/map_setup.exe

===================================================


虚拟机镜像

  • REMnux:REMnux是一份轻量级的、基于Ubuntu的Linux发行,用于辅佐分析人员对恶意软件进行逆向工程

  • https://sourceforge.net/projects/remnux/

  • Kali:渗透测试工程师专用系统

  • http://cdimage.kali.org/kali-1.0.9a/kali-linux-1.0.9a-amd64.iso

  • santoku:包括了一系列开源安全工具,可以帮助你的移动设备进行取证、恶意软件分析和安全测试

  • https://sourceforge.net/projects/santoku/files/latest/download

  • OSAF:安卓取证分析套件

  • http://sourceforge.net/projects/osaftoolkit/files/latest/download

  • SIFT:SANS推出的数字取证工具包

  • https://digital-forensics31.sans.org/community/download-sift-kit/3.0

  • MobiSec:在线的安全审计,恶意软件(android app)检测和分析工具

  • http://sourceforge.net/projects/mobisec/files/latest/download?source=files

 

一如既往的学习,一如既往的整理,一如即往的分享。感谢支持恶意代码分析-工具收集

“如侵权请私聊公众号删文”



扫描关注LemonSec

恶意代码分析-工具收集

恶意代码分析-工具收集


本文始发于微信公众号(LemonSec):恶意代码分析-工具收集

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: