惡意代碼分析-工具收集

惡意代碼分析實戰

Strings：字符串查找工具

https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings

Resource Hacker工具：查看資源節內容

http://www.angusj.com

惡意軟件自動化分析工具套件

惡意軟件分析套件：https://github.com/Cherishao/Analysis-Tools

• PeStudio:windows可執行二進制文件靜態分析取證工具

• https://www.winitor.com/tools/PeStudio/Current/PeStudio.zip

• MASTIFF:APT攻擊樣本靜態分析工具

• http://sourceforge.net/projects/mastiff/files/latest/download

• COMODO:科摩多未知文件分析工具

• https://consumer.valkyrie.comodo.com/apt_tool/download/UnknownFileHunter.exe

• VirusTotal:在線病毒,惡意軟件,url掃描器

• https://www.virustotal.com/

• ThreatTrack:在線病毒,惡意軟件,url掃描器

• https://www.virustotal.com/

• virscan:在線病毒,惡意軟件,url掃描器

• http://www.virscan.org/

• threatexpert:在線病毒,惡意軟件,url掃描器

• http://www.threatexpert.com/filescan.aspx

• malwareviz:在線病毒,惡意軟件,url掃描器

• https://www.malwareviz.com/

• vicheck:在線病毒,惡意軟件,url掃描器

• https://www.vicheck.ca/

• metadefender:在線病毒,惡意軟件,url掃描器

• https://www.metadefender.com/#!/scan-file

===================================================

文檔分析工具

• OfficeMalScanner:MS Office文檔檢測工具

• http://www.reconstructer.org/code/OfficeMalScanner.zip

• OfficeMalScanner:微軟官方的office文檔二進制格式查看工具

• http://download.microsoft.com/download/1/2/7/127ba59a-4fe1-4acd-ba47-513ceef85a85/offvis.zip

• Cryptam Document Scanner:在線的惡意文檔掃描器

• http://www.malwaretracker.com/doc.php

• PDF Examiner:在線的PDF文檔掃描器

• http://www.malwaretracker.com/pdf.php

• Pdf Tools:pdf文檔解析工具集

• https://blog.didierstevens.com/programs/pdf-tools/

• PDF X-RAY:多pdf文檔檢測工具

• https://github.com/9b/pdfxray_lite

• https://github.com/9b/pdfxray_public

• peepdf:pdf文檔解析分析工具

• http://eternal-todo.com/files/pdf/peepdf/peepdf_0.3.zip

• origami:pdf文檔解析分析工具

• https://code.google.com/archive/p/origami-pdf/

• PDF Stream Dumper:pdf文檔檢測工具

• http://sandsprite.com/blogs/index.php?uid=7&pid=57

===================================================

JavaScript分析工具

• Firebug:開源的web開發工具,用於實時的編輯,調試,監視CSS,HTML,JavaScript代碼

• https://getfirebug.com/downloads

• jsunpack-n:解碼javascript腳本的工具

• http://jsunpack-n.googlecode.com/svn/trunk/

• JavaScript Beautifier:美化javascript代碼的工具

• http://jsbeautifier.org/

• http://javascriptbeautifier.com/

• https://github.com/beautify-web/js-beautify

• js deobfuscator:javascript去混淆工具

• https://addons.cdn.mozilla.net/user-media/addons/10345/javascript_deobfuscator-2.0.4-fx.xpi?filehash=sha256%3Aef2dcc00084ff7a9b128d8174906cf4606fcf353aae2c4b7b41627aeff8eaefa

• Web Inspector:OSX或者ios系統的javascript代碼調試工具

• https://developer.apple.com/safari/tools/

• Rhino:基於java的javascript引擎實現

• https://github.com/downloads/mozilla/rhino/rhino1_7R4.zip

• SpiderMonkey 24:火狐24中的Javascript引擎

• https://ftp.mozilla.org/pub/mozilla.org/js/mozjs-24.2.0.tar.bz2

• Malzilla:高級惡意代碼檢測工具,用於檢測基於web的漏洞利用,對javascript代碼進行解碼,去混淆

• https://sourceforge.net/projects/malzilla/files/Malzilla Win32 Binary package/

===================================================

系統&文件監視工具

• Sysinternals Suite:Windows免費的工具套件,涵蓋-文件磁盤工具,網絡工具,進程工具,安全工具,系統信息工具,其他類型工具等等

• http://download.sysinternals.com/files/SysinternalsSuite.zip

• Regshot:開源(LGPL)的注冊表靜態比較工具

• https://nchc.dl.sourceforge.net/project/regshot/regshot/1.9.0/Regshot-1.9.0.7z

• CaptureBat:Win32平台下應用程序行為分析工具

• https://www.honeynet.org/files/CaptureBAT-Setup-2.0.0-5574.exe

• SysAnalyzer:惡意代碼行為分析工具

• https://github.com/dzzie/SysAnalyzer/archive/master.zip

• Process Hacker:開源的進程瀏覽,內存編輯工具

• http://processhacker.googlecode.com/files/processhacker-2.33-bin.zip

• GMER:AntiRookit工具

• http://www.gmer.net/

• ProcDot:惡意軟件行為分析工具

• windows:http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_windows.zip

• linux:http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_linux.zip

• Radiography:windows平台下的取證工具

• http://sbdtools.googlecode.com/files/RadioGraPhyV2.zip

• RunScanner:系統隱藏信息掃描工具

• http://download.runscanner.net/runscanner.exe

• Noriben:沙箱

• https://github.com/Rurik/Noriben

• API Monitor:API調用情況監視工具

• http://www.rohitab.com/download/api-monitor-v2r13-x86-x64.zip

===================================================

shellcode分析工具

• ShellDetect:shellcode檢測工具

• http://securityexploded.com/getsoftware_direct.php?id=4501

• libmu:用C語言實現的基於x86的shellcode檢測的庫

• https://ncu.dl.sourceforge.net/project/nepenthes/libemu development/0.2.0/libemu-0.2.0.tar.gz

• Shellcode2Exe:Shellcode轉exe工具

• http://sandsprite.com/shellcode_2_exe.php

• ConvertShellcode:將shellcode轉換為x86匯編指令,便於理解

• https://zeltser.com/convert-shellcode-to-assembly/

• Shellcode(Malware-Tracker):shellcode在線分析服務

• http://www.malwaretracker.com/shellcode.php

• JMP2IT:將EIP的控制權轉移到shellcode在文件中的指定偏移處,便於暫停對惡意代碼進行分析取證

• https://github.com/adamkramer/jmp2it/

===================================================

網絡分析工具

• WireShark:網絡協議抓包分析工具

• http://wiresharkdownloads.riverbed.com/wireshark/win32/WiresharkPortable-1.12.1.paf.exe

• FakeNet:用於Windows惡意軟件分析的網絡仿真工具

• https://sourceforge.net/projects/fakenet/

• INetSim:模擬各種Internet交互的軟件，目前支持的協議有HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、DNS、FTP/FTPS、TFTP、IRC，以及NTP等

• http://www.inetsim.org/downloads/inetsim-1.2.5.tar.gz

• ncat:TCP/IP瑞士軍刀,支持端口掃描,標志提取,端口轉發/代理,文件傳輸,蜜罐

• https://nmap.org/ncat/

• APT Protocol Decoders:各種解碼器

• http://www.malwaretracker.com/decoder_base64.php

• http://www.malwaretracker.com/decoder_comment_des.php

• http://www.malwaretracker.com/decoder_joy.php

• http://www.malwaretracker.com/decoder_binanen.php

• http://www.malwaretracker.com/decoder_miniasp.php

• Fake DNS:基於正則表達式的python中間人DNS服務器,支持DNS的重綁定攻擊

• https://github.com/Crypt0s/FakeDns

• Apate DNS:圖形化的DNS響應控制工具

• https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip

• Fake SMTP:SMTP服務器偽造工具,用於測試應用程序的電子郵件功能

• http://nilhcem.github.io/FakeSMTP/downloads/fakeSMTP-latest.zip

• Honeyd:小型的網絡蜜罐

• http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz

• tcp dump:強大的命令行網絡數據包分析工具

• http://www.tcpdump.org/release/tcpdump-4.6.2.tar.gz

• Fiddler:HTTP/HTTPS抓包工具

• http://www.telerik.com/download/fiddler/fiddler4

• BurpSuite:滲透測試中使用廣泛的一款抓包工具,還帶有web漏洞掃描,爬蟲,暴力破解等功能

• http://portswigger.net/burp/downloadfree.html

• Network Miner:跨平台的網絡取證分析工具

• http://sourceforge.net/projects/networkminer/files/latest/download

• Ngrep:網路數據包嗅探分析工具

• http://prdownloads.sourceforge.net/ngrep/ngrep-1.45-win32-bin.zip?download

• NetWitness:原始網絡數據包分析工具

• http://download.cnet.com/NetWitness-Investigator/3001-2085_4-10905215.html?hlndr=1

===================================================

URL分析工具

• HTTP Viewer:http請求工具

• http://www.rexswain.com/httpview.html

• UrlQuery:在線的url測試分析服務

• https://urlquery.net/index.php

• URL Void:網站域名黑名單掃描,方便檢測可能有危險的網站-存在惡意軟件或者欺詐活動的

• http://www.urlvoid.com/

• Norton Safe Web:諾頓提供的網站安全性檢測服務

• https://safeweb.norton.com/

• vURL:快速安全的檢測惡意或者可疑網站

• https://vurldissect.co.uk/

• Spondulas:瀏覽器模擬器/解析器,用於檢索和捕獲存在惡意軟件的頁面

• https://sourceforge.net/projects/spondulas/?source=typ_redirect

• VirusTotal:在線URL檢測服務

• https://www.virustotal.com/

• PhishTank:檢測釣魚頁面

• http://www.phishtank.com/

• netrenderer:顯示IE 5,6,7,8,9,10,11是如何呈現頁面的

• http://netrenderer.com/

===================================================

SWF分析工具

• SWFTools:用於處理Adobe Flash文件(SWF)的實用程序集合

• windows:http://www.swftools.org/swftools-2013-04-09-1007.exe

• linux:http://www.swftools.org/swftools-2013-04-09-1007.tar.gz

• SWF Investigator:SWF檢測工具,幫助Flash開發者全面分析SWF文件中元素,資源,AMF通訊,指令集裝配方式,AS3庫等

• windows:http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_win_update_052213.exe

• osx:http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_mac_update_052213.zip

• SWF decompiler:領先的Flash反編譯器&Flash轉HTML5工具

• windows:http://www2.sothink.com/download/swfdec.zip

• osx:http://www2.sothink.com/download/swfdec-mac.dmg

• SWFRETools:Adobe Flash Player漏洞分析,惡意SWF文件分析工具集合

• https://github.com/downloads/sporst/SWFREtools/swfretools_140.zip

• Flasm:SWF反匯編工具

• windows:http://www.nowrap.de/download/flasm16win.zip

• osx:http://www.nowrap.de/download/flasm16mac.tgz

• linux:http://www.nowrap.de/download/flasm16linux.tgz

• Flare:提取SWF中所有ActionScript腳本工具

• windows:http://www.nowrap.de/download/flare06doswin.zip

• osx:http://www.nowrap.de/download/flare06mac.tgz

• linux:http://www.nowrap.de/download/flare06linux.tgz

• solaris:http://www.nowrap.de/download/flare06solaris.tgz

• xxxswf:用於掃描,壓縮,解壓縮,分析Flash SWF文件的腳本

• https://bitbucket.org/Alexander_Hanel/xxxswf/get/244e32357dd5.zip

===================================================

內存取證分析工具

• Volatility:支持windows,linux,mac os,android等平台的內存取證框架

• https://github.com/volatilityfoundation/volatility

• Volatilitux:對於Linux系統來說,Volatilitux相當於Volatility

• https://code.google.com/archive/p/volatilitux/downloads

• Linux Memory Extractor[LIME]:可加載內核模塊(LKM),允許從Linux和基於Linux的Android設備獲取RAM內存

• https://github.com/504ensicsLabs/LiME

• MemoryAnalysis:可加載內核模塊(LKM),允許從Linux和基於Linux的Android設備獲取RAM內存

• https://github.com/504ensicsLabs/LiME

• Memoryze:火眼公司打造的內存取證軟件

• https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-memoryze.zip

• Redline:火眼公司推出主要用於用戶主機取證調查的工具

• https://www.fireeye.com/services/freeware/redline.html

===================================================

調試器

• Ollydbg:win32平台下的ring3調試器

• 2.0:http://www.ollydbg.de/odbg200.zip

• 1.1:http://www.ollydbg.de/odbg110.zip

• Immunity Debugger:win32平台下的漏洞調試,惡意代碼分析,逆向工程的利器

• http://debugger.immunityinc.com/getID.py?hash=705393dfcc9066537a1141a1c1cca2790bdb830a

• Windbg:微軟官方提供的用戶以及內核模式調試利器

• https://www.microsoft.com/en-us/download/confirmation.aspx?id=8279

• GDB:Linux平台下的調試器

• http://ftp.gnu.org/gnu/gdb/

• EDB:Linux平台下的調試器

• http://codef00.com/downloads/debugger-0.9.20.tgz

===================================================

反匯編工具

• IDA Pro:跨平台的反匯編神器

• https://www.hex-rays.com/products/ida/support/download_freeware.shtml

• Hopper:支持Windows,Linux,OSX等平台下應用程序的逆向工程

• OSX:https://d1f8bh81yd16yv.cloudfront.net/Hopper-3.13.2.zip

• Ubuntu:http://www.hopperapp.com/HopperWeb/downloads_linux/hopperv3-3.5.9.1.deb

• Fedora:http://www.hopperapp.com/HopperWeb/downloads_linux/Hopper-3.5.9.1-1.x86_64.rpm

• Capstone:輕量級的多平台多架構支持的反匯編框架。支持包括ARM，ARM64，MIPS和x86/x64平台

• http://www.capstone-engine.org/download.html

• Cerbero Profiler:惡意文檔格式分析工具

• windows:https://store.cerbero.io/static/downloads/profiler/profiler_setup_2.2.0.exe

• osx:https://store.cerbero.io/static/downloads/profiler/Profiler_2.2.0.dmg

• linux:https://store.cerbero.io/static/downloads/profiler/profiler_2.2.0.tar.gz

===================================================

十六進制編輯器

• Hexplorer:Windows平台下的十六進制編輯器

• https://www.hex-rays.com/products/ida/support/download_freeware.shtml

• Capstone:輕量級的多平台多架構支持的反匯編框架。支持包括ARM，ARM64，MIPS和x86/x64平台

• http://www.capstone-engine.org/download.html

• 010Editor:跨平台的文件格式分析編輯工具

• http://download.sweetscape.com/010EditorWin32Installer702.exe

• BinText:文本文件掃描工具

• http://b2b-download.mcafee.com/products/tools/foundstone/bintext303.zip

• Hackman Suite:十六進制編輯器

• http://www.technologismiki.com/uplx/hack930.zip

• HXD:十六進制編輯器

• http://mh-nexus.de/en/downloads.php?product=HxD

===================================================

查殼工具

• RDG Packer Detector:查殼工具

• http://www.rdgsoft.net/downloads/RDG Packer Detector v0.7.3.2014.rar

• Peid:查殼工具

• http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml

• Language 2000:查殼工具

• https://farrokhi.net/language/

• Exescan:PE文件檢測工具

• http://securityexploded.com/getsoftware_direct.php?id=4011

• Quick Unpack:通用脫殼工具

• http://depositfiles.com/files/7w625zzad

===================================================

DNS&IP信息搜集工具

• MXTOOLBOX:快速,准確的網絡診斷查找,搜集所有的MX記錄,DNS,黑名單和SMTP診斷的一個集成工具

• http://mxtoolbox.com/SuperTool.aspx#

• CyINT Internet Utilities:提供實時的網絡信息搜集

• https://cy-int.com/inputs

• Domain Tools:Whois信息查詢系統

• http://www.domaintools.com/products/domain-research/

• Robtex:Whois信息查詢系統

• https://www.robtex.com/

• Network-Tools:域名/IP信息收集工具

• http://network-tools.com/

• DomainDossier:域名/IP信息收集工具

• http://centralops.net/co/DomainDossier.aspx

• dns lookup:DNS記錄查詢系統

• http://www.dnsqueries.com/en/dns_lookup.php

• dns lookup:域名/IP信息綜合查詢系統

• http://www.mydnstools.info/

• dnstools:DNS查詢系統

• https://www.ultratools.com/dnsTools

• dnsstuff:網站信息綜合查詢工具

• http://www.dnsstuff.com/tools

===================================================

PE分析工具

• PE Insider:可執行文件PE格式查看工具

• http://cerbero.io/static/tools/peinsider_setup.exe

• CFF Explorer:PE文件格式編輯工具

• http://www.ntcore.com/files/ExplorerSuite.exe

• LordPe:PE文件格式編輯工具

• http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip

• PeView:PE文件格式編輯工具

• http://wjradburn.com/software/PEview.zip

• PE Explorer:PE文件格式編輯工具

• http://www.heaventools.com/download/pexsetup.exe

• ChimPrec:導入表重建工具

• http://www.woodmann.com/collaborative/tools/images/Bin_CHimpREC_2008-6-24_13.59_CHimpREC.zip

• Malcode Analysis Pack:惡意代碼分析工具包

• http://sandsprite.com/CodeStuff/map_setup.exe

===================================================

虛擬機鏡像

• REMnux:REMnux是一份輕量級的、基於Ubuntu的Linux發行,用於輔佐分析人員對惡意軟件進行逆向工程

• https://sourceforge.net/projects/remnux/

• Kali:滲透測試工程師專用系統

• http://cdimage.kali.org/kali-1.0.9a/kali-linux-1.0.9a-amd64.iso

• santoku:包括了一系列開源安全工具,可以幫助你的移動設備進行取證、惡意軟件分析和安全測試

• https://sourceforge.net/projects/santoku/files/latest/download

• OSAF:安卓取證分析套件

• http://sourceforge.net/projects/osaftoolkit/files/latest/download

• SIFT:SANS推出的數字取證工具包

• https://digital-forensics31.sans.org/community/download-sift-kit/3.0

• MobiSec:在線的安全審計,惡意軟件(android app)檢測和分析工具

• http://sourceforge.net/projects/mobisec/files/latest/download?source=files