GitHub:Awesome-Hacking(黑客技能列表-惡意代碼)

0 初衷

GitHub這一份黑客技能列表很不錯，包含了多個方向的安全。但目前我關注只有逆向工程與惡意代碼，所以其他的被暫時略過。
雖然很感謝作者的辛勤付出，但並不打算復制粘貼全套轉載。逐條整理是為了從大量資源里梳理出自己覺得實用性很高的東西。

《Awesome-Hacking》
https://github.com/Hack-with-Github/Awesome-Hacking

Awesome Hacking系列-惡意代碼分析

• 惡意軟件分析：包括惡意軟件收集、開源威脅情報、檢測、沙箱等
  https://github.com/rshipp/awesome-malware-analysis

1 惡意軟件分析

這是基於Awesome-Hacking列表工具中的一部分工具，需要注冊用戶或是不常用的工具不進行記錄。

1.1 梳理惡意軟件分析的工具集合

• 匿名軟件

• • Shadowsocks 這是我常用的

• 蜜罐

• • 目前沒有需要用到蜜罐的需求

• 惡意軟件樣本庫

• • Contagio - 近期的惡意軟件樣本和分析的收集(注意：需要翻牆)
    http://contagiodump.blogspot.com/
• • Exploit Database - Exploit 和 shellcode 樣本
    https://www.exploit-db.com/
• • MalwareDB - 惡意軟件樣本庫
    http://malwaredb.malekal.com/
• • Tracker h3x - 勒索者惡意軟件下載地址和C&C域名的聚合
    http://tracker.h3x.eu/families
• • VX Vault - 惡意軟件樣本的C&C域名與IP
    http://vxvault.net/ViriList.php

• 開源威脅情報

• • AlienVault Open Threat Exchange - 威脅情報的共享與合作
    https://otx.alienvault.com/
• • Combine - 一款可以從公開的信息源中得到威脅情報信息（MaxMind GeoIP ASN Database、MaxMind GeoIP Database、Farsight Security's DNSDB）
    https://github.com/mlsecproject/combine
• • Fileintel - 文件情報，可以把病毒HASH保存在文本文件提交給Virustotal等網站進行查詢，生成報表
    https://github.com/keithjjones/fileintel
• • Hostintel - 主機情報，可以把IPH保存在文本文件提交給IP查詢網址進行查詢，生成列表（Country、Postal、City、State）
    https://github.com/keithjjones/hostintel
• • ThreatCrowd - 帶有圖形可視化的威脅搜索引擎
    https://www.threatcrowd.org/
• • Cybercrime tracker - 多個僵屍網絡的活動跟蹤
    http://cybercrime-tracker.net/
• • Internet Storm Center (DShield) - 日志和可搜索的事件數據庫，並且帶有 Web API(非官方 Python 庫).
    https://isc.sans.edu/
• • malc0de - 搜索事件數據庫
    http://malc0de.com/database/
• • Malware Domain List - 搜索和分享惡意軟件 URL
    http://www.malwaredomainlist.com/mdl.php
• • Ransomware overview - 勒索軟件的概述列表
    https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml
• • threatRECON - Threat Recon™是由Wapack Labs開發的免費網絡威脅情報分析服務（搜索指標，每月最多一千次）
    https://threatrecon.co/

• 檢測與分類

• • AnalyzePE - Windows PE 文件的分析器
    https://github.com/hiddenillusion/AnalyzePE
• • ClamAV - 開源反病毒引擎
    http://www.clamav.net/
• • Detect-It-Easy - 用於確定文件類型的程序
    https://github.com/horsicq/Detect-It-Easy
• • PEV - 為正確分析可疑的二進制文件提供功能豐富工具的 PE 文件多平台分析工具集
    http://pev.sourceforge.net/
• • TrID - 文件識別
    http://mark0.net/soft-trid-e.html
• • YARA - 分析師利用的模式識別工具
    http://virustotal.github.io/yara/
• • Yara rules generator - 基於惡意樣本生成 yara 規則，也包含避免誤報的字符串數據庫
    https://github.com/Neo23x0/yarGen

• 在線掃描與沙盒

• • APK Analyzer - APK 免費動態分析
    https://www.apk-analyzer.net/
• • AndroTotal - 利用多個移動反病毒軟件進行免費在線分析 App
    https://andrototal.org/scan/result/Ys5J9S-WSba36K5b4OosNQ
• • AVCaesar - Malware.lu 在線掃描器和惡意軟件集合
    https://avcaesar.malware.lu/
• • Cryptam - 分析可疑的 Office 文檔
    http://www.cryptam.com/
• • cuckoo-modified - GPL 許可證的 Cuckoo 沙盒的修改版，由於法律原因作者沒有將其分支合並
    https://github.com/brad-accuvant/cuckoo-modified
• • cuckoo-modified-api - 用於控制 cuckoo-modified 沙盒的 Python API
    https://github.com/brad-accuvant/cuckoo-modified
• • Document Analyzer - DOC 和 PDF 文件的免費動態分析
    https://www.document-analyzer.net/
• • DRAKVUF - 動態惡意軟件分析系統
    https://github.com/tklengyel/drakvuf
• • File Analyzer - 免費 PE 文件動態分析
    https://www.file-analyzer.net/
• • firmware.re - 解包、掃描、分析絕大多數固件包
    http://firmware.re/
• • Hybrid Analysis - 由 VxSandbox 支持的在線惡意軟件分析工具
    https://www.hybrid-analysis.com/
• • Jotti - 免費在線多反病毒引擎掃描器
    https://virusscan.jotti.org/en
• • Limon - 分析 Linux 惡意軟件的沙盒
    https://github.com/monnappa22/Limon
• • Malheur - 惡意行為的自動化沙盒分析
    https://github.com/rieck/malheur
• • Malwr - 免費的在線 Cuckoo 沙盒分析實例(但是會共享樣本，分析的也只是靜態)
    https://malwr.com/analysis/
• • Metadefender.com - 掃描文件、哈希或惡意軟件的 IP 地址
    https://www.metadefender.com/#!/scan-file
• • NetworkTotal - 一個分析 pcap 文件的服務，使用配置了 EmergingThreats Pro 的Suricata 快速檢測病毒、蠕蟲、木馬和各種惡意軟件
    https://www.networktotal.com/index.html
• • Noriben - 使用 Sysinternals Procmon 收集惡意軟件在沙盒環境下的進程信息
    https://github.com/Rurik/Noriben
• • PDF Examiner - 收集可疑的 PDF 文件
    http://www.pdfexaminer.com/
• • Sand droid - 自動化、完整的 Android 應用程序分析系統
    http://sanddroid.xjtu.edu.cn/
• • VirusTotal - 免費的在線惡意軟件樣本和 URL 分析
    https://www.virustotal.com/

• 網絡ip、域名分析

• • Dig - 免費的在線 dig 以及其他網絡工具
    https://networking.ringofsaturn.com/Tools/dig.php
• • dnstwist - 用於檢測釣魚網站和公司間諜活動的域名排名網站
    https://github.com/elceef/dnstwist
• • IPinfo - 通過搜索在線資源收集關於 IP 或 域名的信息
    https://github.com/hiddenillusion/IPinfo/blob/master/IPinfo.py
• • MaltegoVT - 讓 Maltego 使用 VirusTotal API，允許搜索域名、IP 地址、文件哈希、報告
    https://github.com/michael-yip/MaltegoVT
• • SenderBase - 搜索 IP、域名或網絡的所有者
    https://talosintelligence.com/reputation_center/lookup?search=chinahope.net#email-history
• • TekDefense Automator - 收集關於 URL、IP 和哈希值的 OSINT 工具
    http://www.tekdefense.com/automater/
• • Whois - DomainTools 家免費的 whois 搜索
    http://whois.domaintools.com/

• 網頁惡意軟件分析

• • Firebug - Firefox Web 開發擴展
    http://getfirebug.com/
• • Java Decompiler - 反編譯並檢查 Java 的應用
    http://jd.benow.ca/
• • jsunpack-n - 一個 javascript 解壓軟件，可以模擬瀏覽器功能
    https://github.com/urule99/jsunpack-n
• • Krakatau - Java 的反編譯器、匯編器與反匯編器
    https://github.com/Storyyeller/Krakatau
• • Malzilla - 分析惡意 Web 頁面
    http://malzilla.sourceforge.net/
• • xxxswf - 分析 Flash 文件的 Python 腳本
    http://hooked-on-mnemonics.blogspot.jp/2011/12/xxxswfpy.html

• 文檔和Shellcode

• • AnalyzePDF - 分析 PDF 並嘗試判斷其是否是惡意文件的工具
    https://github.com/hiddenillusion/AnalyzePDF
• • diStorm - 分析惡意 Shellcode 的反匯編器
    http://i53.hatenablog.jp/entry/2015/04/27/171932
    http://www.ragestorm.net/distorm/
• • JS Beautifier - JavaScript 脫殼和去混淆
    http://jsbeautifier.org/
• • JS Deobfuscator - 對那些使用 eval 或 document.write 的簡單 Javascript 去混淆
    www.kahusecurity.com/2015/new-javascript-deobfuscator-tool/
• • malpdfobj - 解構惡意 PDF 為 JSON 表示
    https://github.com/9b/malpdfobj
• • OfficeMalScanner - 掃描 MS Office 文檔中的惡意跟蹤
    http://www.reconstructer.org/code.html
• • olevba - 解析 OLE 和 OpenXML 文檔，並提取有用信息的腳本
    http://www.decalage.info/python/olevba
• • Origami PDF - 一個分析惡意 PDF 的工具
    https://code.google.com/archive/p/origami-pdf/
• • PDF Tools - Didier Stevens 開發的許多關於分析 PDF 的工具
    https://blog.didierstevens.com/programs/pdf-tools/
• • PDF X-Ray Lite - PDF 分析工具，PDF X-RAY 的無后端版本
    https://github.com/9b/pdfxray_lite
• • peepdf - 用來探索可能是惡意的 PDF 的 Python 工具
    http://eternal-todo.com/tools/peepdf-pdf-analysis-tool
• • QuickSand - QuickSand 是一個緊湊的 C 框架，用於分析可疑的惡意軟件文檔，以識別不同編碼流中的漏洞，並定位和提取嵌入的可執行文件
    https://www.quicksand.io/
• • Spidermonkey - Mozilla 的 JavaScript 引擎，用來調試可疑 JS 代碼
    https://developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey

• 文件提取

• • 目前沒有需要用到文件提取的需求

• 去混淆

• • Balbuzard - 去除混淆(XOR、ROL等)的惡意軟件分析工具
    https://bitbucket.org/decalage/balbuzard/wiki/Home
• • de4dot - .NET 去混淆與脫殼
    https://github.com/0xd4d/de4dot
• • ex_pe_xor 和 iheartxor - Alexander Hanel 開發的用於去除單字節異或編碼的文件的兩個工具
    http://hooked-on-mnemonics.blogspot.jp/2014/04/expexorpy.html
    http://hooked-on-mnemonics.blogspot.jp/p/iheartxor.html
• • FLOSS - FireEye 實驗室的混淆字符串求解工具，使用高級靜態分析技術來自動去除惡意軟件二進制文件中的字符串
    https://github.com/fireeye/flare-floss
• • NoMoreXOR - 通過頻率分析來猜測一個 256 字節的異或密鑰
    https://github.com/hiddenillusion/NoMoreXOR
• • PackerAttacker - Windows 惡意軟件的通用隱藏代碼提取程序
    https://github.com/BromiumLabs/PackerAttacker
• • unpacker - 基於 WinAppDbg 的自動 Windows 惡意軟件脫殼器
    https://github.com/malwaremusings/unpacker/
• • unxor - 通過已知明文攻擊來猜測一個異或密鑰
    https://github.com/tomchop/unxor/
• • VirtualDeobfuscator - 虛擬逆向分析工具
    https://github.com/jnraber/VirtualDeobfuscator
• • XORBruteForcer - 爆破單字節異或密鑰的 Python 腳本
    http://eternal-todo.com/var/scripts/xorbruteforcer
• • XORSearch 和 XORStrings - Didier Stevens 開發的用於尋找異或混淆后數據的兩個工具
    http://blog.didierstevens.com/programs/xorsearch/
• • xortool - 猜測異或密鑰和密鑰的長度
    https://github.com/hellman/xortool

• 調試和逆向工程

• • angr - UCSB 的安全實驗室開發的跨平台二進制分析框架
    https://github.com/angr/angr
• • BAP - CMU 的安全實驗室開發的跨平台開源二進制分析框架
    https://github.com/BinaryAnalysisPlatform/bap
• • barf - 跨平台、開源二進制分析逆向框架
    https://github.com/programa-stic/barf-project
• • binnavi - 基於圖形可視化的二進制分析 IDE
    https://github.com/google/binnavi
• • Capstone - 二進制分析反匯編框架，支持多種架構和許多語言
    https://github.com/aquynh/capstone
• • dnSpy - .NET 編輯器、編譯器、調試器
    https://github.com/0xd4d/dnSpy
• • Evan's Debugger (EDB) - Qt GUI 程序的模塊化調試器
    http://codef00.com/projects#debugger
• • Fibratus - 探索、跟蹤 Windows 內核的工具
    https://github.com/rabbitstack/fibratus
• • FPort - 實時查看系統中打開的 TCP/IP 和 UDP 端口，並映射到應用程序
    https://www.mcafee.com/us/downloads/free-tools/fport.aspx
• • GDB - GNU 調試器
    http://www.sourceware.org/gdb/
• • GEF - 針對開發人員和逆向工程師的 GDB 增強版
    https://github.com/hugsy/gef
• • hackers-grep - 用來搜索 PE 程序中的導入表、導出表、字符串、調試符號
    https://github.com/codypierce/hackers-grep
• • IDA Pro - Windows 反匯編和調試器，有免費評估版
    https://www.hex-rays.com/products/ida/index.shtml
• • Immunity Debugger - 帶有 Python API 的惡意軟件調試器
    http://debugger.immunityinc.com/
• • ltrace - Linux 可執行文件的動態分析
    http://ltrace.org/
• • objdump - GNU 工具集的一部分，面向 Linux 二進制程序的靜態分析
    https://en.wikipedia.org/wiki/Objdump
• • OllyDbg - Windows 可執行程序匯編級調試器
    http://www.ollydbg.de/
• • PANDA - 動態分析平台
    https://github.com/moyix/panda
• • PEDA - 基於 GDB 的 Pythton Exploit 開發輔助工具，增強顯示及增強的命令
    https://github.com/longld/peda
• • pestudio - Windows 可執行程序的靜態分析
    https://winitor.com/
• • plasma - 面向 x86/ARM/MIPS 的交互式反匯編器
    https://github.com/joelpx/plasma
• • PPEE (puppy) - 專業的 PE 文件資源管理器
    https://www.mzrst.com/
• • Process Explorer - 高級 Windows 任務管理器
    https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
• • Process Monitor - Windows 下高級程序監控工具
    https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
• • PSTools - 可以幫助管理員實時管理系統的 Windows 命令行工具
    https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
• • Pyew - 惡意軟件分析的 Python 工具
    https://github.com/joxeankoret/pyew
• • Radare2 - 帶有調試器支持的逆向工程框架
    http://www.radare.org/r/
• • RetDec - 可重定向的機器碼反編譯器，同時有在線反編譯服務和 API
    https://retdec.com/
• • ROPMEMU - 分析、解析、反編譯復雜的代碼重用攻擊的框架
    https://github.com/vrtadmin/ROPMEMU
• • SMRT - Sublime 3 中輔助惡意軟件分析的插件
    https://github.com/pidydx/SMRT
• • strace - Linux 可執行文件的動態分析
    http://sourceforge.net/projects/strace/
• • Triton - 一個動態二進制分析框架
    http://triton.quarkslab.com/
• • Udis86 - x86 和 x86_64 的反匯編庫和工具
    https://github.com/vmt/udis86
• • Vivisect - 惡意軟件分析的 Python 工具
    https://github.com/vivisect/vivisect
• • X64dbg - Windows 的一個開源 x64/x32 調試器
    https://github.com/x64dbg/

• 網絡

• • Bro - 支持驚人規模的文件和網絡協議的協議分析工具
    https://www.bro.org/
• • BroYara - 基於 Bro 的 Yara 規則集
    https://github.com/hempnall/broyara
• • CapTipper - 惡意 HTTP 流量管理器
    https://github.com/omriher/CapTipper
• • chopshop - 協議分析和解碼框架
    https://github.com/MITRECND/chopshop
• • Fiddler - 專為 Web 調試開發的 Web 代理
    http://www.telerik.com/fiddler
• • Hale - 僵屍網絡 C&C 監視器
    https://github.com/pjlantz/Hale
• • INetSim - 網絡服務模擬。建設一個惡意軟件分析實驗室十分有用
    http://www.inetsim.org/
• • Laika BOSS - Laika BOSS 是一種以文件為中心的惡意軟件分析和入侵檢測系統
    https://github.com/lmco/laikaboss
• • Malcom - 惡意軟件通信分析儀
    https://github.com/tomchop/malcom
• • Maltrail - 一個惡意流量檢測系統，利用公開的黑名單來檢測惡意和可疑的通信流量，帶有一個報告和分析界面
    https://github.com/stamparm/maltrail
• • mitmproxy - 攔截網絡流量通信
    https://mitmproxy.org/
• • Moloch - IPv4 流量捕獲，帶有索引和數據庫系統
    https://github.com/aol/moloch
• • NetworkMiner - 有免費版本的網絡取證分析工具
    http://www.netresec.com/?page=NetworkMiner
• • ngrep - 像 grep 一樣收集網絡流量
    http://ngrep.sourceforge.net/
• • PcapViz - 網絡拓撲與流量可視化
    https://github.com/mateuszk87/PcapViz
• • Tcpdump - 收集網絡流
    http://www.tcpdump.org/
• • tcpick - 從網絡流量中重構 TCP 流
    http://tcpick.sourceforge.net/
• • tcpxtract - 從網絡流量中提取文件
    http://tcpxtract.sourceforge.net/
• • Wireshark - 網絡流量分析工具
    https://www.wireshark.org/

• 內存取證

• • 目前沒有需要用到內存取證的需求

• Windows 神器

• • AChoir - 一個用來收集 Windows 實時事件響應腳本集
    https://github.com/OMENScan/AChoir
• • python-evt - 用來解析 Windows 事件日志的 Python 庫
    https://github.com/williballenthin/python-evt
• • python-registry - 用於解析注冊表文件的 Python 庫
    http://www.williballenthin.com/registry/
• • RegRipper (GitHub) - 基於插件集的工具
    https://regripper.wordpress.com/

• 存儲和工作流

• • 目前沒有需要用到這類工具的需求

• 雜項

• • 目前沒有需要用到這類工具的需求

1.2 相關資源

• 書籍
  基礎惡意軟件分析閱讀書單

• • Malware Analyst's Cookbook and DVD ->中文版本《惡意軟件分析訣竅與工具箱》 打擊惡意代碼的工具和技術
• • Practical Malware Analysis ->中文版本《惡意代碼實戰解析》 剖析惡意軟件的手邊書

• -Practical Reverse Engineering ->中文版本 《逆向工程實戰》 中級逆向工程

• • Real Digital Forensics - 計算機安全與應急響應
• • The Art of Memory Forensics - 在 Windows、Linux 和 Mac 系統的內存中檢測惡意軟件和威脅
• • The IDA Pro Book -> 《IDA Pro權威指南(第2版)》 世界上最流行的反匯編器的非官方指南
• • The Rootkit Arsenal -> 《Rootkit：系統灰色地帶的潛伏者》 從反取證角度，深入、系統解讀rootkit的本質和核心技術，以及如何構建屬於自己的Rootkit武器，包含大量模塊化示例

• Twitter

• • Adamb @Hexacorn
    https://twitter.com/Hexacorn
• • Andrew Case @attrc
    https://twitter.com/attrc
• • Binni Shah @binitamshah
    https://twitter.com/binitamshah
• • Claudio @botherder
    https://twitter.com/botherder
• • Dustin Webber @mephux
    https://twitter.com/mephux
• • Glenn @hiddenillusion
    https://twitter.com/hiddenillusion
• • jekil @jekil
    https://twitter.com/jekil
• • Jurriaan Bremer @skier_t
    https://twitter.com/skier_t
• • Lenny Zeltser @lennyzeltser
    https://twitter.com/lennyzeltser
• • Liam Randall @hectaman
    https://twitter.com/hectaman
• • Mark Schloesser @repmovsb
    https://twitter.com/repmovsb
• • Michael Ligh (MHL) @iMHLv2
    https://twitter.com/iMHLv2
• • Monnappa @monnappa22
    https://twitter.com/monnappa22
• • Open Malware @OpenMalware
    https://twitter.com/OpenMalware
• • Richard Bejtlich @taosecurity
    https://twitter.com/taosecurity
• • Volatility @volatility
    https://twitter.com/volatility

• 其他

• • /r/Malware - 惡意軟件的子版塊
    https://www.reddit.com/r/Malware
• • /r/ReverseEngineering - 逆向工程子版塊，不僅限於惡意軟件
    https://www.reddit.com/r/ReverseEngineering

2 參考

• 1、GitHub 萬星推薦：黑客成長技術清單
  http://www.4hou.com/info/news/7061.html

• 2、惡意軟件分析大合集
  https://github.com/rshipp/awesome-malware-analysis/blob/master/惡意軟件分析大合集.md