目前看到最全的恶意软件分析大合集行业动态安全频道企业网D1Net

QuickSand-QuickSand是一个紧凑的C框架，用于分析可疑的恶意软件文档，以识别不同编码流中的漏洞，并定位和提取嵌入的可执行文件FLOSS-FireEye实验室的混淆字符串求解工具，使用高级静态分析技术来自动去除恶意软件二进制文件中的字符串

▲

虽然由于免费安全软件在中国的高度普及，恶意软件的编写、制作门槛越来越高，恶意软件的传播也变得越来越困难。但“安全像弹簧，你弱它就强”。同时随着国家对安全政策的倾斜，我国也迎来了信息安全、网络安全的高速发展，有越来过多的IT从业者参与其中。

来自Github的开发贡献者rshipp，在其存储库中发表了《恶意软件分析大合集》，贴心的rshipp在2017年1月将这一系列同步了中文版，IT168小编度娘了一下，国内还没有这个合集的内容，特此放出以飨读者。该合集是小编目前看到最全的针对恶意软件分析的内容，朋友们一定要收藏。

▲《恶意软件分析大合集》目录

《恶意软件分析大合集》分析全文：

恶意软件集合

匿名代理

对于分析人员的Web流量匿名方案

Anonymouse.org-一个免费、基于Web的匿名代理

OpenVPN-VPN软件和托管解决方案

Privoxy-一个带有隐私保护功能的开源代理服务器

Tor-洋葱路由器，为了在浏览网页时不留下客户端IP地址

蜜罐

捕获和收集你自己的样本

Conpot-ICS/SCADA蜜罐

Cowrie-基于Kippo的SSH蜜罐

Dionaea-用来捕获恶意软件的蜜罐

Glastopf-Web应用蜜罐

Honeyd-创建一个虚拟蜜罐

HoneyDrive-蜜罐包的Linux发行版

Mnemosyne-受Dinoaea支持的蜜罐数据标准化

Thug-用来调查恶意网站的低交互蜜罐

恶意软件样本库

收集用于分析的恶意软件样本

CleanMX-恶意软件和恶意域名的实时数据库

Contagio-近期的恶意软件样本和分析的收集

ExploitDatabase-Exploit和shellcode样本

Malshare-在恶意网站上得到的大量恶意样本库

MalwareDB-恶意软件样本库

OpenMalwareProject-样本信息和下载

Ragpicker-基于malwarecrawler的一个插件

theZoo-分析人员的实时恶意样本库

Trackerh3x-Agregator的恶意软件跟踪和下载地址

ViruSign-除ClamAV外的反病毒程序检出的恶意软件数据库

VirusShare-恶意软件库

VXVault-恶意软件样本的主动收集

ZeusSourceCode-2011年Zeus源码泄露

开源威胁情报

工具

收集、分析IOC信息

AbuseHelper-用于接收和重新分发威胁情报的开源框架

AlienVaultOpenThreatExchange-威胁情报的共享与合作

Combine-从公开的信息源中得到威胁情报信息

Fileintel-文件情报

Hostintel-主机情报

IntelMQ-CERT使用消息队列来处理应急数据的工具

IOCEditor-Mandiant出品的一个免费的XMLIOC文件编辑器

ioc_writer-开发的用于OpenIOC对象的Python库

MassiveOctoSpice-由CSIRTGadgetsFoundation发起，之前叫做CIF(CollectiveIntelligenceFramework)，从各种信息源聚合IOC信息

MISP-由TheMISPProject发起的恶意软件信息共享平台

PyIOCe-一个PythonOpenIOC编辑器

threataggregator-聚合来自多个信息源的安全威胁，包括otherresources列表中的一些

ThreatCrowd-带有图形可视化的威胁搜索引擎

TIQ-test-威胁情报源的数据可视化和统计分析

其他资源

威胁情报和IOC资源

Autoshun(list)-Snort插件和黑名单

BambenekConsultingFeeds-基于恶意DGA算法的OSINT订阅

FidelisBarncat-可扩展的恶意软件配置数据库(必须有请求权限)

CIArmy(list)-网络安全黑名单

CriticalStack-FreeIntelMarket-免费的英特尔去重聚合项目，有超过90种订阅以及超过一百二十万个威胁情报信息

CRDFThreatCenter-由CRDF提供的新威胁检出

Cybercrimetracker-多个僵尸网络的活动跟踪

FireEyeIOCs-由FireEye共享的IOC信息

FireHOLIPLists-针对攻击、恶意软件的更改历史、国家地图和保留政策的350+IP的跟踪

hpfeeds-蜜罐订阅协议

InternetStormCenter(DShield)-日志和可搜索的事件数据库，并且带有WebAPI(非官方Python库).

malc0de-搜索事件数据库

OpenIOC-威胁情报共享框架

PalevoBlocklists-蜜罐C&C黑名单

ProofpointThreatIntelligence-以前新兴威胁的规则集

Ransomwareoverview-勒索软件的概述列表

CAPEC-常见攻击模式枚举与分类

CybOX-网络观测eXpression

MAEC-恶意软件特征枚举与界定

TAXII-可信的指标信息自动化交换

threatRECON-搜索指标，每月最多一千次

Yararules-Yara规则集

ZeuSTracker-ZeuS黑名单

检测与分类

反病毒和其他恶意软件识别工具

AnalyzePE-WindowsPE文件的分析器

chkrootkit-本地Linuxrootkit检测

ClamAV-开源反病毒引擎

Detect-It-Easy-用于确定文件类型的程序

ExifTool-读、写、编辑文件的元数据

FileScanningFramework-模块化的递归文件扫描解决方案

hashdeep-用各种算法计算哈希值

Loki-基于主机的IOC扫描器

Malfunction-在功能层面对恶意软件进行分类和比较

MASTIFF-静态分析框架

MultiScanner-模块化文件扫描/分析框架

packerid-跨平台的PEiD的替代品

PEV-为正确分析可疑的二进制文件提供功能丰富工具的PE文件多平台分析工具集

RootkitHunter-检测Linux的rootkits

ssdeep-计算模糊哈希值

totalhash.py-一个简单搜索TotalHash.com数据库的Python脚本

TrID-文件识别

YARA-分析师利用的模式识别工具

Yararulesgenerator-基于恶意样本生成yara规则，也包含避免误报的字符串数据库

在线扫描与沙盒

基于Web的多反病毒引擎扫描器和恶意软件自动分析的沙盒

APKAnalyzer-APK免费动态分析

AndroTotal-利用多个移动反病毒软件进行免费在线分析App

AVCaesar-Malware.lu在线扫描器和恶意软件集合

Cryptam-分析可疑的Office文档

CuckooSandbox-开源、自主的沙盒和自动分析系统

cuckoo-modified-GPL许可证的Cuckoo沙盒的修改版，由于法律原因作者没有将其分支合并

cuckoo-modified-api-用于控制cuckoo-modified沙盒的PythonAPI

DeepViz-通过机器学习分类来分析的多格式文件分析器

detux-一个用于对Linux恶意软件流量分析与IOC信息捕获的沙盒

DocumentAnalyzer-DOC和PDF文件的免费动态分析

DRAKVUF-动态恶意软件分析系统

FileAnalyzer-免费PE文件动态分析

firmware.re-解包、扫描、分析绝大多数固件包

HybridAnalysis-由VxSandbox支持的在线恶意软件分析工具

IRMA-异步、可定制的可疑文件分析平台

JoeSandbox-深度恶意软件分析

Jotti-免费在线多反病毒引擎扫描器

Limon-分析Linux恶意软件的沙盒

Malheur-恶意行为的自动化沙盒分析

Malwareconfig-从常见的恶意软件提取、解码和在线配置

Malwr-免费的在线Cuckoo沙盒分析实例

MASTIFFOnline-在线恶意软件静态分析

Metadefender.com-扫描文件、哈希或恶意软件的IP地址

NetworkTotal-一个分析pcap文件的服务，使用配置了EmergingThreatsPro的Suricata快速检测病毒、蠕虫、木马和各种恶意软件

Noriben-使用SysinternalsProcmon收集恶意软件在沙盒环境下的进程信息

PDFExaminer-收集可疑的PDF文件

ProcDot-一个可视化恶意软件分析工具集

Recomposer-安全上传二进制程序到沙盒网站的辅助脚本

Sanddroid-自动化、完整的Android应用程序分析系统

SEE-在安全环境中构建测试自动化的框架

URLAnalyzer-对URL文件的动态分析

VirusTotal-免费的在线恶意软件样本和URL分析

Visualize_Logs-用于日志的开源可视化库和命令行工具(Cuckoo、Procmon等)

域名分析

检查域名和IP地址

Desenmascara.me-一键点击即可得到尽可能多的检索元数据以评估一个网站的信誉度

Dig-免费的在线dig以及其他网络工具

dnstwist-用于检测钓鱼网站和公司间谍活动的域名排名网站

IPinfo-通过搜索在线资源收集关于IP或域名的信息

Machinae-类似Automator的OSINT工具，用于收集有关URL、IP或哈希的信息

mailchecker-跨语言临时邮件检测库

MaltegoVT-让Maltego使用VirusTotalAPI，允许搜索域名、IP地址、文件哈希、报告

Multirbl-多个DNS黑名单，反向查找超过300个RBL。

SenderBase-搜索IP、域名或网络的所有者

SpamCop-垃圾邮件IP黑名单IP

SpamHaus-基于域名和IP的黑名单

SucuriSiteCheck-免费的网站恶意软件与安全扫描器

TekDefenseAutomator-收集关于URL、IP和哈希值的OSINT工具

URLQuery-免费的URL扫描器

Whois-DomainTools家免费的whois搜索

ZScalarZulu-ZuluURL风险分析

浏览器恶意软件

分析恶意URL

Firebug-FirefoxWeb开发扩展

JavaDecompiler-反编译并检查Java的应用

JavaIDXParser-解析JavaIDX缓存文件

JSDetox-JavaScript恶意软件分析工具

jsunpack-n-一个javascript解压软件，可以模拟浏览器功能

Krakatau-Java的反编译器、汇编器与反汇编器

Malzilla-分析恶意Web页面

RABCDAsm-一个健壮的ActionScript字节码反汇编

swftools-PDF转换成SWF的工具

xxxswf-分析Flash文件的Python脚本

文档和Shellcode

在PDF、Office文档中分析恶意JS和Shellcode

AnalyzePDF-分析PDF并尝试判断其是否是恶意文件的工具

box-js-用于研究JavaScript恶意软件的工具，支持JScript/WScript和ActiveX仿真功能

diStorm-分析恶意Shellcode的反汇编器

JSBeautifier-JavaScript脱壳和去混淆

JSDeobfuscator-对那些使用eval或document.write的简单Javascript去混淆

libemu-x86shellcode仿真的库和工具

malpdfobj-解构恶意PDF为JSON表示

OfficeMalScanner-扫描MSOffice文档中的恶意跟踪

olevba-解析OLE和OpenXML文档，并提取有用信息的脚本

OrigamiPDF-一个分析恶意PDF的工具

PDFTools-DidierStevens开发的许多关于PDF的工具

PDFX-RayLite-PDF分析工具，PDFX-RAY的无后端版本

peepdf-用来探索可能是恶意的PDF的Python工具

QuickSand-QuickSand是一个紧凑的C框架，用于分析可疑的恶意软件文档，以识别不同编码流中的漏洞，并定位和提取嵌入的可执行文件

Spidermonkey-Mozilla的JavaScript引擎，用来调试可疑JS代码

文件提取

从硬盘和内存镜像中提取文件

bulk_extractor-快速文件提取工具

EVTXtract-从原始二进制数据提取Windows事件日志文件

Foremost-由USAirForce设计的文件提取工具

Hachoir-处理二进制程序的Python库的集合

Scalpel-另一个数据提取工具

去混淆

破解异或或其它代码混淆方法

Balbuzard-去除混淆(XOR、ROL等)的恶意软件分析工具

de4dot-.NET去混淆与脱壳

ex_pe_xor和iheartxor-AlexanderHanel开发的用于去除单字节异或编码的文件的两个工具

FLOSS-FireEye实验室的混淆字符串求解工具，使用高级静态分析技术来自动去除恶意软件二进制文件中的字符串

NoMoreXOR-通过频率分析来猜测一个256字节的异或密钥

PackerAttacker-Windows恶意软件的通用隐藏代码提取程序

unpacker-基于WinAppDbg的自动Windows恶意软件脱壳器

unxor-通过已知明文攻击来猜测一个异或密钥

VirtualDeobfuscator-虚拟逆向分析工具

XORBruteForcer-爆破单字节异或密钥的Python脚本

XORSearch和XORStrings-DidierStevens开发的用于寻找异或混淆后数据的两个工具

xortool-猜测异或密钥和密钥的长度

调试和逆向工程

反编译器、调试器和其他静态、动态分析工具

angr-UCSB的安全实验室开发的跨平台二进制分析框架

bamfdetect-识别和提取奇迹人和其他恶意软件的信息

BAP-CMU的安全实验室开发的跨平台开源二进制分析框架

BARF-跨平台、开源二进制分析逆向框架

binnavi-基于图形可视化的二进制分析IDE

Binwalk-固件分析工具

Bokken-Pyew和Radare的界面版

Capstone-二进制分析反汇编框架，支持多种架构和许多语言

codebro-使用clang提供基础代码分析的Web端代码浏览器

dnSpy-.NET编辑器、编译器、调试器

Fibratus-探索、跟踪Windows内核的工具

FPort-实时查看系统中打开的TCP/IP和UDP端口，并映射到应用程序

GDB-GNU调试器

GEF-针对开发人员和逆向工程师的GDB增强版

hackers-grep-用来搜索PE程序中的导入表、导出表、字符串、调试符号

IDAPro-Windows反汇编和调试器，有免费评估版

ImmunityDebugger-带有PythonAPI的恶意软件调试器

ltrace-Linux可执行文件的动态分析

objdump-GNU工具集的一部分，面向Linux二进制程序的静态分析

OllyDbg-Windows可执行程序汇编级调试器

PANDA-动态分析平台

PEDA-基于GDB的PythtonExploit开发辅助工具，增强显示及增强的命令

pestudio-Windows可执行程序的静态分析

plasma-面向x86/ARM/MIPS的交互式反汇编器

PPEE(puppy)-专业的PE文件资源管理器

ProcessExplorer-高级Windows任务管理器

ProcessMonitor-Windows下高级程序监控工具

PSTools-可以帮助管理员实时管理系统的Windows命令行工具

Pyew-恶意软件分析的Python工具

Radare2-带有调试器支持的逆向工程框架

RetDec-可重定向的机器码反编译器，同时有在线反编译服务和API

ROPMEMU-分析、解析、反编译复杂的代码重用攻击的框架

SMRT-Sublime3中辅助恶意软件分析的插件

strace-Linux可执行文件的动态分析

Triton-一个动态二进制分析框架

Udis86-x86和x86_64的反汇编库和工具

Vivisect-恶意软件分析的Python工具

X64dbg-Windows的一个开源x64/x32调试器

网络

分析网络交互

Bro-支持惊人规模的文件和网络协议的协议分析工具

BroYara-基于Bro的Yara规则集

CapTipper-恶意HTTP流量管理器

chopshop-协议分析和解码框架

Fiddler-专为Web调试开发的Web代理

Hale-僵尸网络C&C监视器

Haka-一个安全导向的开源语言，用于在实时流量捕获时描述协议、应用安全策略

INetSim-网络服务模拟。建设一个恶意软件分析实验室十分有用

LaikaBOSS-LaikaBOSS是一种以文件为中心的恶意软件分析和入侵检测系统

Malcom-恶意软件通信分析仪

Maltrail-一个恶意流量检测系统，利用公开的黑名单来检测恶意和可疑的通信流量，带有一个报告和分析界面

mitmproxy-拦截网络流量通信

Moloch-IPv4流量捕获，带有索引和数据库系统

NetworkMiner-有免费版本的网络取证分析工具

ngrep-像grep一样收集网络流量

PcapViz-网络拓扑与流量可视化

Tcpdump-收集网络流

tcpick-从网络流量中重构TCP流

tcpxtract-从网络流量中提取文件

Wireshark-网络流量分析工具

内存取证

在内存映像或正在运行的系统中分析恶意软件的工具

BlackLight-支持hiberfil、pagefile与原始内存分析的Windows/MacOS取证客户端

DAMM-基于Volatility的内存中恶意软件的差异分析

evolve-用于VolatilityMemory取证框架的Web界面

FindAES-在内存中寻找AES加密密钥

Muninn-一个使用Volatility的自动化分析脚本，可以生成一份可读报告

Rekall-内存分析框架，2013年Volatility的分支版本

TotalRecall-基于Volatility自动执行多恶意样本分析任务的脚本

VolDiff-在恶意软件执行前后，在内存映像中运行Volatility并生成对比报告

Volatility-先进的内存取证框架

VolUtility-Volatility内存分析框架的Web接口

WinDbg-Windows系统的实时内存检查和内核调试工具

Windows神器

AChoir-一个用来收集Windows实时事件响应脚本集

python-evt-用来解析Windows事件日志的Python库

python-registry-用于解析注册表文件的Python库

RegRipper(GitHub)-基于插件集的工具

存储和工作流

Aleph-开源恶意软件分析管道系统

CRITs-关于威胁、恶意软件的合作研究

Malwarehouse-存储、标注与搜索恶意软件

Polichombr-一个恶意软件分析平台，旨在帮助分析师逆向恶意软件。

stoQ-分布式内容分析框架，具有广泛的插件支持

Viper-分析人员的二进制管理和分析框架

杂项

al-khaser-一个旨在突出反恶意软件系统的PoC恶意软件

Binarly-海量恶意软件字节的搜索引擎

DC3-MWCP-反网络犯罪中心的恶意软件配置解析框架

MalSploitBase-包含恶意软件利用的漏洞的数据库

MalwareMuseum-收集20世纪八九十年代流行的恶意软件

Pafish-ParanoidFish，与恶意软件家族的行为一致，采用多种技术来检测沙盒和分析环境的演示工具

REMnux-面向恶意软件逆向工程师和分析人员的Linux发行版和Docker镜像

SantokuLinux-移动取证的Linux发行版

科技驱动创新行业智行千里

以分析之力造福亿万生灵——SAS白皮书下载

融绘数字未来——H3CNavigate2018新华三领航者峰会

国药国际CIO冯伟：数字化转型要打破信息化建系统的固有思维