你想要的安全工具和资源

今天有点咸?
想做一只没有梦想的搬运工


  • 十六进制编辑器

十六进制编辑器(二进制文件编辑器或字节编辑器)是一种允许操纵计算机文件的基本二进制数据计算机程序。名称'hex'出自'hexadecimal':用于表示二进制数据的标准数字格式

HXD https://mh-nexus.de/en/hxd/

010 Editor http://www.sweetscape.com/010editor/

Hex Workshop http://www.hexworkshop.com/

HexFiend http://ridiculousfish.com/hexfiend/

Hiew http://www.hiew.ru/


  • 反汇编

反汇编程序与反编译器不同,反编译器的目标是高级语言而不是汇编语言。反汇编(反汇编程序的输出)通常被格式化为可读性较强的汇编语言,使其成为逆向工程工具

IDA Pro
https://www.hex-rays.com/products/ida/index.shtml

Binary Ninja https://binary.ninja/

Radare http://www.radare.org/r/

Hopper http://hopperapp.com/

Capstone http://www.capstone-engine.org/

objdump http://linux.die.net/man/1/objdump

fREedom https://github.com/cseagle/fREedom

plasma
https://github.com/plasma-disassembler/plasma


  • 检测和分类

AnalyzePE - 用于报告Windows PE文件的各种工具
https://github.com/hiddenillusion/AnalyzePE

Assemblyline - 可扩展的分布式文件分析框架
https://bitbucket.org/cse-assemblyline/assemblyline

BinaryAlert - 一种开源的无服务器AWS管道,可根据一组YARA规则扫描和警告上载的文件
https://github.com/airbnb/binaryalert

chkrootkit - 本地Linux rootkit检测
http://www.chkrootkit.org/

ClamAV - 开源防病毒引擎
http://www.clamav.net/

Detect-It-Easy - 用于确定文件类型的程序
https://github.com/horsicq/Detect-It-Easy

ExifTool - 读取,写入和编辑文件元数据
https://sno.phy.queensu.ca/~phil/exiftool/

File Scanning Framework - 模块化递归文件扫描解决方案
https://github.com/EmersonElectricCo/fsf

hashdeep - 使用各种算法计算摘要哈希值
https://github.com/jessek/hashdeep

Loki - 基于主机的IOC扫描仪
https://github.com/Neo23x0/Loki

Malfunction - 在功能级别编目和比较恶意App
https://github.com/Dynetics/Malfunction

MASTIFF - 静态分析框架
https://github.com/KoreLogicSecurity/mastiff

MultiScanner - 模块化文件扫描/分析框架
https://github.com/mitre/multiscanner

nsrllookup - 在NIST的国家App参考库数据库中查找哈希的工具
https://github.com/rjhansen/nsrllookup

packerid - PEiD的跨平台Python替代方案
http://handlers.sans.org/jclausing/packerid.py

PEV - 用于处理PE文件的多平台工具包,提供功能丰富的工具,用于正确分析可疑二进制文件
http://pev.sourceforge.net/

Rootkit Hunter - 检测Linux rootkit
http://rkhunter.sourceforge.net/

ssdeep - 计算模糊哈希值
https://ssdeep-project.github.io/ssdeep/

totalhash.py -
用于搜索 TotalHash.cymru.com 数据库的Python脚本
https://gist.github.com/gleblanc1783/3c8e6b379fa9d646d401b96ab5c7877f

TrID - 文件标识符
http://mark0.net/soft-trid-e.html

YARA - 分析师的模式匹配工具
https://plusvic.github.io/yara/

Yara rules generator - 根据一组恶意App样本生成yara规则https://github.com/Neo23x0/yarGen


  • 动态二进制仪表

动态二进制仪表工具

Pin
https://software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool

DynamoRio http://www.dynamorio.org/

Frida https://www.frida.re/

dyninst http://www.dyninst.org/


  • Mac Decrypt

Mac Decrypting工具

Cerbero Profiler - 全选 - >复制到新文件
http://cerbero-blog.com/?p=1311

AppEncryptor - 用于解密的工具
https://github.com/AlanQuatermain/appencryptor

Class-Dump - deprotect选项
http://stevenygard.com/projects/class-dump/

readmem - OS X Reverser的进程转储工具
https://github.com/gdbinit/readmem


  • 模拟器

模拟器工具

QEMU http://www.qemu-project.org/

unicorn
https://github.com/unicorn-engine/unicorn


  • 文件分析

文档分析工具

Ole Tools
http://www.decalage.info/python/oletools

Didier’s PDF Tools
http://blog.didierstevens.com/programs/pdf-tools/

Origami https://github.com/cogent/origami-pdf


  • 动态分析

这个入门级的恶意App动态分析课程是专门针对那些刚开始从事恶意App分析,或是想要学习如何通过各种工具检测恶意App遗留的人员

这是一门实践课程,学员们可以使用各种工具来查找恶意App的类型

ProcessHacker http://processhacker.sourceforge.net/

Process Explorer
https://technet.microsoft.com/en-us/sysinternals/processexplorer

Process Monitor
https://technet.microsoft.com/en-us/sysinternals/processmonitor

Autoruns
https://technet.microsoft.com/en-us/sysinternals/bb963902

Noriben https://github.com/Rurik/Noriben

API监视器 http://www.rohitab.com/apimonitor

iNetSim http://www.inetsim.org/

Wireshark https://www.wireshark.org/download.html

Fakenet
http://practicalmalwareanalysis.com/fakenet/

Volatility
https://github.com/volatilityfoundation/volatility

Dumpit http://www.moonsols.com/products/

LiME https://github.com/504ensicsLabs/LiME

Cuckoo https://www.cuckoosandbox.org/

Objective-See Utilities
https://objective-see.com/products.html

XCode Instruments - 用于监控文件和进程的XCode工具
https://developer.apple.com/xcode/download/

fs_usage - 实时报告与文件系统活动相关的系统调用和页面错误,文件I / O:fs_usage -w -f文件系统
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/fs_usage.1.html

dmesg - 显示系统消息缓冲区
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/dmesg.8.html

Triton https://triton.quarkslab.com/


  • 反混淆

反向XOR和其他代码混淆方法

Balbuzard - 用于反转混淆(XOR,ROL等)的恶意App分析工具等
https://bitbucket.org/decalage/balbuzard/wiki/Home

de4dot - .NET反混淆器和解包器
https://github.com/0xd4d/de4dot

ex_pe_xor & iheartxor - Alexander Hanel的两个工具,用于处理单字节XOR编码文件
http://hooked-on-mnemonics.blogspot.com/p/iheartxor.html

FLOSS - FireEye Labs混淆字符串解算器,自动使用高级静态分析技术对来自恶意App二进制文件的字符串进行反混淆处理
https://github.com/fireeye/flare-floss

NoMoreXOR - 使用频率分析256字节的XOR密钥
https://github.com/hiddenillusion/NoMoreXOR

PackerAttacker - Windows恶意App的通用隐藏代码提取程序
https://github.com/BromiumLabs/PackerAttacke

unpacker - 基于WinAppDbg的Windows恶意App的自动恶意App解包器
https://github.com/malwaremusings/unpacker/

unxor - 使用已知明文攻击猜测XOR密钥
https://github.com/tomchop/unxor/

VirtualDeobfuscator - 虚拟化包装器的逆向工程工具
https://github.com/jnraber/VirtualDeobfuscator

XORBruteForcer - 用于强制实行单字节XOR键的Python脚本
http://eternal-todo.com/var/scripts/xorbruteforcer

XORSearch & XORStrings - 来自Didier Stevens的几个程序,用于查找 XORed数据
https://blog.didierstevens.com/programs/xorsearch/

xortool - 猜测XOR密钥长度,以及密钥本身
https://github.com/hellman/xortool


  • 调试

在此列表中,大家可以看到反汇编程序,调试程序以及其他静态和动态分析工具的工具

跨平台调试工具

gdb https://www.gnu.org/software/gdb/

vdb https://github.com/vivisect/vivisect

lldb http://lldb.llvm.org/

qira http://qira.me/

仅限Windows的调试工具

WinDbg
https://msdn.microsoft.com/en-us/windows/hardware/hh852365.aspx

ImmunityDebugger
https://www.immunityinc.com/products/debugger/

OllyDbg v1.10 http://www.ollydbg.de/

OllyDbg v2.01
http://www.ollydbg.de/version2.html

OllySnD
https://tuts4you.com/download.php?view.2061

Olly Shadow
https://tuts4you.com/download.php?view.6

Olly CiMs
https://tuts4you.com/download.php?view.1206

Olly UST_2bg
https://tuts4you.com/download.php?view.1206

x64dbg http://x64dbg.com/#start

仅限Linux的调试工具

DDD http://www.gnu.org/software/ddd/


  • 逆向工程

angr - 在UCSB的Seclab开发的二进制分析框架
https://github.com/angr/angr

bamfdetect - 识别和提取机器人和其他恶意App的信息
https://github.com/bwall/bamfdetect

BAP - 在Cylab开发的多平台和开源(MIT)二进制分析框架
https://github.com/BinaryAnalysisPlatform/bap

BARF - 开源二进制分析和逆向工程框架
https://github.com/programa-stic/barf-project

binnavi - 基于图形可视化的逆向工程二进制分析IDE
https://github.com/google/binnavi

Binary ninja - 一种可逆转工程平台,可替代IDA
https://binary.ninja/

Binwalk - 固件分析工具
https://github.com/devttys0/binwalk

Bokken - Pyew和Radare的GUI
http://www.bokken.re/

Capstone - 用于二进制分析和反转的反汇编框架
https://github.com/aquynh/capstone

codebro - 基于Web的代码浏览器,提供基本代码分析
https://github.com/hugsy/codebro

DECAF (Dynamic Executable Code Analysis Framework)- 基于QEMU的二进制分析平台,DroidScope现在是DECAF的扩展
https://github.com/sycurelab/DECAF

dnSpy - NET汇编编辑器,反编译器和调试器
https://github.com/0xd4d/dnSpy

Evan’s DeBUGGER(EDB) - 带有Qt GUI的模块化调试器
http://codef00.com/projects#debugger

Fibratus - 用于探索和跟踪Windows内核的工具
https://github.com/rabbitstack/fibratus

FPort - 在实时系统中打开TCP / IP和UDP端口并将它们映射到所属的应用程序
https://www.mcafee.com/us/downloads/free-tools/fport.aspx

GDB - GNU调试器
http://www.sourceware.org/gdb/

GEF - GDB增强功能,适用于开发人员和逆向工程师
https://github.com/hugsy/gef

hackers-grep - 在PE可实行文件中搜索字符串的实用程序,包括导入,导出和调试符号
https://github.com/codypierce/hackers-grep

Hopper - macOS和Linux反汇编程序
https://www.hopperapp.com/

IDA Pro - Windows反汇编程序和调试程序,具有免费评估版
https://www.hex-rays.com/products/ida/index.shtml

Immunity Debugger - 用于恶意App分析的调试器,使用Python API
http://debugger.immunityinc.com/

ILSpy - ILSpy是开源.NET程序集浏览器和反编译器
http://ilspy.net/

Kaitai Struct - 用于文件格式/网络协议/数据结构的DSL逆向工程和剖析,包括C ++,C#,Java,JavaScript,Perl,PHP,Python,Ruby的代码生成
http://kaitai.io/

LIEF - LIEF提供了一个跨平台的库来解析,修改和抽象ELF,PE和MachO格式
https://lief.quarkslab.com/

ltrace - Linux可实行文件的动态分析
http://ltrace.org/

objdump - GNU binutils的一部分,用于Linux二进制文件的静态分析
https://en.wikipedia.org/wiki/Objdump

OllyDbg - Windows可实行文件的汇编级调试器
http://www.ollydbg.de/

PANDA - 中性动态分析
https://github.com/moyix/panda

PEDA - 针对GDB的Python漏洞利用开发协助,增强显示和添加命令
https://github.com/longld/peda

pestudio - 实行Windows可实行文件的静态分析
https://winitor.com/

Pharos - Pharos二进制分析框架,可用于实行二进制文件的自动静态分析
https://github.com/cmu-sei/pharos

plasma - 用于x86 / ARM / MIPS的交互式反汇编程序
https://github.com/plasma-disassembler/plasma

PPEE(puppy)- 专业PE文件浏览器
https://www.mzrst.com/

Process Explorer - Windows的高级任务管理器
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Process Hacker - 监视系统资源的工具
http://processhacker.sourceforge.net/

Process Monitor - 用于Windows程序的高级监视工具
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

PSTools - 帮助管理和调查实时系统的Windows命令行工具
https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

Pyew - 用于恶意App分析的Python工具
https://github.com/joxeankoret/pyew

PyREBox - 思科Talos团队的Python脚本化逆向工程沙箱
https://github.com/Cisco-Talos/pyrebox

QKD - QEMU带有嵌入式WinDbg服务器,用于隐身调试
https://github.com/ispras/qemu/releases/

Radare2 - 反向工程框架,支撑调试器
http://www.radare.org/r/

RegShot - 比较快照的注册表比较实用程序
https://sourceforge.net/projects/regshot/

RetDec -
具有在线反编译服务和API的Retargetable机器代码反编译器
https://retdec.com/

ROPMEMU - 分析,剖析和反编译复杂代码重用攻击的框架
https://github.com/Cisco-Talos/ROPMEMU

SMRT - Sublime恶意App研究工具,Sublime 3的插件,用于帮助恶意App分析
https://github.com/pidydx/SMRT

strace - Linux可实行文件的动态分析
https://sourceforge.net/projects/strace/

Triton - 动态二进制分析(DBA)框架
https://triton.quarkslab.com/

Udis86 - 用于x86和x86_64的反汇编程序库和工具
https://github.com/vmt/udis86

Vivisect - 用于恶意App分析的Python工具
https://github.com/vivisect/vivisect

WinDbg - 用于微软 Windows计算机操作系统的多用途调试器,用于调试用户模式应用程序,设备驱动程序和内核模式内存转储
https://developer.microsoft.com/en-us/windows/hardware/download-windbg

X64dbg - 用于Windows的开源x64 / x32调试器
https://github.com/x64dbg/


  • 二进制格式和二进制分析

复合文件二进制格式是几种不同的微软文件格式(如微软 Office文档和微软 Installer程序包)使用的基本容器

CFF资源管理器
http://www.ntcore.com/exsuite.php

Cerbero Profiler // Lite PE Insider
http://cerbero.io/profiler/
http://cerbero.io/peinsider/

Detect It EASY http://ntinfo.biz/

PeStudio http://www.winitor.com/

PEID
https://tuts4you.com/download.php?view.398

MachoView https://github.com/gdbinit/MachOView

nm - 查看符号
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/nm.1.html

file -文件信息
https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/file.1.html

codesign - 代码签名信息用法:codesign -dvvv文件名https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/codesign.1.html

二进制分析资源

Mobius Resources
http://www.msreverseengineering.com/research/

z3 https://z3.codeplex.com/

bap https://github.com/BinaryAnalysisPlatform/bap

angr https://github.com/angr/angr


  • 反编译器

反编译器是一种计算机程序,它输入可实行文件,并尝试创建可以成功重新编译的高级源文件。因此它与编译器相反,后者采用源文件并生成可实行文件

通用反编译器

HexRay
https://www.hex-rays.com/products/decompiler/

RetDec https://retdec.com/decompilation/

Boomerang http://boomerang.sourceforge.net/

Java Decompiler

Procyon
https://bitbucket.org/mstrobel/procyon/wiki/Java%20Decompiler

JD-GUI http://jd.benow.ca/

JAD https://varaneckas.com/jad/

NET反编译器

JustDecompile
http://www.telerik.com/products/decompiler.aspx

dotPeek https://www.jetbrains.com/decompiler/

Delphi反编译器

IDR http://kpnc.org/idr32/en/

Revendepro
http://www.ggoossen.net/revendepro/

Python反编译器

Uncompyle6
https://github.com/rocky/python-uncompyle6/

Decompyle ++ https://github.com/zrax/pycdc


  • 字节码分析

字节码分析工具

dnSpy https://github.com/0xd4d/dnSpy

字节码查看器 https://bytecodeviewer.com/

字节码查看器 https://bytecodeviewer.com/

字节可视化
http://www.drgarbage.com/bytecode-visualizer/

JPEXS Flash Decompiler
https://www.free-decompiler.com/flash/


  • 导入重构

导入重构工具

ImpRec
http://www.woodmann.com/collaborative/tools/index.php/ImpREC

Scylla https://github.com/NtQuery/Scylla

LordPE
http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip


  • 在线扫描仪和沙箱

以下工具用于基于Web的多AV扫描仪,以及用于自动分析的恶意App沙箱

anlyz.io - 在线沙箱
https://sandbox.anlyz.io/

AndroTotal - 针对多个移动防病毒应用程序免费在线分析APK
https://andrototal.org/

AVCaesar - Malware.lu在线扫描程序和恶意App存储库
https://avcaesar.malware.lu/

Cryptam - 分析可疑的办公文档
http://www.cryptam.com/

Cuckoo Sandbox - 开源,自托管沙箱和自动分析系统
https://cuckoosandbox.org/

cuckoo-modified -
根据GPL发布的Cuckoo Sandbox的修改版本,由于编辑的法律问题,未合并上传
https://github.com/brad-accuvant/cuckoo-modified

DeepViz - 具有机器学习分类的多格式文件分析器
https://www.deepviz.com/

detux - 开发用于对Linux恶意App进行流量分析并捕获IOC的沙箱
https://github.com/detuxsandbox/detux/

DRAKVUF - 动态恶意App分析系统
https://github.com/tklengyel/drakvuf

firmware.re - 解压缩,扫描和分析几乎所有固件包
http://firmware.re/

HaboMalHunter - Linux ELF文件的自动恶意App分析工具
https://github.com/Tencent/HaboMalHunter

混合分析 - 在线恶意App分析工具,由VxSandbox提供支撑
https://www.hybrid-analysis.com/

IRMA - 针对可疑文件的异步和可自定义分析平台
http://irma.quarkslab.com/

Joe Sandbox - 使用Joe Sandbox进行深度恶意App分析
https://www.joesecurity.org/

Jotti - 免费在线多AV扫描仪
https://virusscan.jotti.org/en

Limon - 用于分析Linux恶意App的沙箱
https://github.com/monnappa22/Limon

Malheur - 恶意App行为的自动沙盒分析
https://github.com/rieck/malheur

malsub - 用于在线恶意App和URL分析服务的Python RESTful API框架
https://github.com/diogo-fernan/malsub

恶意App配置 - 从常见恶意App中在线提取,解码和显示配置设置
https://malwareconfig.com/

Malwr - 使用在线Cuckoo Sandbox实例进行免费分析
https://malwr.com/

MASTIFF Online - 恶意App的在线静态分析
https://mastiff-online.korelogic.com/

Metadefender.com - 扫描恶意App的文件,哈希或IP地址(免费)
https://www.metadefender.com/

NetworkTotal - 一种分析pcap文件的服务,可以使用配置了EmergingThreats Pro的Suricata快速检测病毒,蠕虫,特洛伊木马和各种恶意App
https://www.networktotal.com/index.html

Noriben - 使用Sysinternals Procmon收集有关沙盒环境中恶意App的信息
https://github.com/Rurik/Noriben

PDF Examiner - 分析可疑的PDF文件
http://www.pdfexaminer.com/

ProcDot - 图形恶意App分析工具包
http://www.procdot.com/

重组器 - 用于将二进制文件安全地上载到沙箱站点的帮助程序脚本
https://github.com/secretsquirrel/recomposer

Sand droid - 自动完整的Android应用程序分析系统
http://sanddroid.xjtu.edu.cn/

SEE - 沙盒实行环境(SEE)是用于在安全环境中构建测试自动化的框架
https://github.com/F-Secure/see

VirusTotal - 免费在线分析恶意App样本和URL
https://www.virustotal.com/

Visualize_Logs - 用于日志的开源可视化库和命令行工具(Cuckoo,Procmon......)
https://github.com/keithjjones/visualize_logs

Zeltser‘s List - 由Lenny Zeltser编写的免费自动沙箱和服务
https://zeltser.com/automated-malware-analysis


  • 脚本

IDA Python Src https://github.com/idapython/src

IDC Functions Doc
https://www.hex-rays.com/products/ida/support/idadoc/162.shtml

Using IDAPython to Make your Life Easier
http://researchcenter.paloaltonetworks.com/tag/idapython/

IDA Python概况
https://tuts4you.com/download.php?view.3229

IDA Python初学者指南
https://leanpub.com/IDAPython-Book

IDA插件大赛 https://www.hex-rays.com/contests/

onehawt IDA插件列表
https://github.com/onethawt/idaplugins-list

pefile Python Libray
https://github.com/erocarrera/pefile


  • Android

Android工具

Android Developer Studio
http://developer.android.com/sdk/index.html

AndroGuard https://github.com/androguard/androguard/

APKtool http://ibotpeaches.github.io/Apktool/

dex2jar https://github.com/pxb1988/dex2jar

字节码查看器 https://bytecodeviewer.com/

IDA Pro
https://www.hex-rays.com/products/ida/index.shtml


  • Yara

Yara资源

Yara docs
http://yara.readthedocs.org/en/v3.4.0/writingrules.html

cheatsheet
https://gist.github.com/0xtyh/eeabc765e9befad9b80a

yarGen https://github.com/Neo23x0/yarGen

Yara First Presentation
https://github.com/xathrya/awesome-list/blob/master/Users/thalfpop/Downloads/first_2014_-_schuster-andreas-_yara_basic_and_advanced_20140619.pdf


  • 记忆取证

用于在内存映像或运行系统中剖析恶意App的工具

BlackLight - 支撑hiberfil,页面文件,原始内存分析的Windows / MacOS取证客户端
https://www.blackbagtech.com/blacklight.html

DAMM - 基于波动率内存中恶意App的差异分析
https://github.com/504ensicsLabs/DAMM

evolve - Volatility Memory取证框架的Web界面
https://github.com/JamesHabben/evolve

FindAES - 在内存中查找AES加密密钥
http://jessekornblum.livejournal.com/269749.html

inVtero.net - 用.NET开发的高速内存分析框架,支撑所有Windows x64,包括代码完整性和写入支撑
https://github.com/ShaneK2/inVtero.net

Muninn - 使用Volatility自动化部分分析的脚本,并创建可读报告
https://github.com/ytisf/muninn

Rekall - 内存分析框架,源于2013年的Volatility
http://www.rekall-forensic.com/

TotalRecall - 基于Volatility的脚本,用于自动实行各种恶意App分析任务
https://github.com/sketchymoose/TotalRecall

VolDiff - 在恶意App实行之前和之后对内存映像运行Volatility,并报告更改
https://github.com/aim4r/VolDiff

Volatility - 先进的记忆取证框架
https://github.com/volatilityfoundation/volatility

VolUtility -波动率内存分析框架的Web界面
https://github.com/kevthehermit/VolUtility

WDBGARK - WinDBG Anti-RootKit扩展
https://github.com/swwwolf/wdbgark

WinDbg - Windows系统的实时内存检查和内核调试
https://developer.microsoft.com/en-us/windows/hardware/windows-driver-kit


  • Windows工件

AChoir - 用于收集Windows工件的实时事件响应脚本
https://github.com/OMENScan/AChoir

python-evt - 用于解析Windows事件日志的Python库
https://github.com/williballenthin/python-evt

python-registry - 用于解析注册表文件的Python库
http://www.williballenthin.com/registry/

RegRipper(GitHub) - 基于插件的注册表分析工具
http://brettshavers.cc/index.php/brettsblog/tags/tag/regripper/


  • 存储和工作流程

Aleph - 开源恶意App分析管道系统
https://github.com/merces/aleph

CRIT s - 一个恶意App威胁库
https://crits.github.io/

FAME - 一个恶意App分析框架,其特色是可以使用自定义模块进行扩展的管道,这些模块可以链接并相互交互以实行端到端分析
https://certsocietegenerale.github.io/fame/

Malwarehouse - 存储,标记和搜索恶意App
https://github.com/sroberts/malwarehouse

Polichombr - 一种恶意App分析平台,旨在帮助分析师协同反转恶意App
https://github.com/ANSSI-FR/polichombr

stoQ - 分布式内容分析框架,具有广泛的插件支撑,从输入到输出,以及介于两者之间的所有内容
http://stoq.punchcyber.com/

Viper - 分析师和研究人员的二进制管理和分析框架
http://viper.li/


  • 恶意App样本

收集恶意App样本进行分析

Clean MX - 恶意App和恶意域的实时数据库
http://support.clean-mx.de/clean-mx/viruses.php

Contagio - 最近的恶意App样本和分析集合
http://contagiodump.blogspot.com/

漏洞数据库 - 利用和shellcode样本
https://www.exploit-db.com/

Malshare - 恶意App的大型存储库
https://malshare.com/

MalwareDB - 恶意App样本存储库
http://malwaredb.malekal.com/

打开恶意App项目 - 示例信息下载
http://openmalware.org/

Ragpicker - 基于插件的恶意App爬虫,具有预分析和报告功能
https://github.com/robbyFux/Ragpicker

theZoo - 分析师的真实恶意App样本
https://github.com/ytisf/theZoo

Tracker h3x - 用于恶意App语料库跟踪器和恶意下载站点的 Agregator
http://tracker.h3x.eu/

ViruSign - 恶意App数据库
http://www.virussign.com/

VirusShare - 恶意App存储库,需要注册
https://virusshare.com/

VX Vault - 恶意App样本的主动收集
http://vxvault.net/

Zeltser的来源 - Lenny Zeltser汇总的恶意App样本源列表
https://zeltser.com/malware-sample-sources/

Zeus源代码 - Zeus木马的来源于2011年泄露
https://github.com/Visgean/Zeus


  • 课程

逆向工程课程

莱纳斯为新手逆转
https://tuts4you.com/download.php?list.17

开放式安全培训
http://opensecuritytraining.info/Training.html

傅博士的恶意App分析
http://fumalwareanalysis.blogspot.sg/p/malware-analysis-tutorials-reverse.html

二元审计课程 http://www.binary-auditing.com/

TiGa的视频教程 http://www.woodmann.com/TiGa/

随机传说
https://tuts4you.com/download.php?list.97

现代二元开发
http://security.cs.rpi.edu/courses/binexp-spring2015/

RPISEC恶意App课程
https://github.com/RPISEC/Malware

SANS FOR 610 GREM
https://www.sans.org/course/reverse-engineering-malware-malware-analysis-tools-techniques/Type/asc/all

REcon培训 https://recon.cx/2015/training.html

黑帽训练
https://www.blackhat.com/us-16/training/

进攻性安全
https://www.offensive-security.com/information-security-training/

Corelan培训 https://www.corelan-training.com/

攻击性和防御性Android逆转
https://github.com/rednaga/training/raw/master/DEFCON23/O%26D%20-%20Android%20Reverse%20Engineering.pdf


  • 域分析

检查域和IP地址

badips.com - 基于社区的IP黑名单服务
https://www.badips.com/

boomerang - 一种用于一致且安全地捕获网络外网络资源的工具
https://github.com/EmersonElectricCo/boomerang

Cymon - 威胁情报跟踪器,具有IP /域/哈希搜索功能
https://cymon.io/

Desenmascara.me - 一键式工具,可以为网站检索尽可能多的元数据,并评估其良好的信誉
http://desenmascara.me/

Dig - 免费在线挖掘和其他网络工具
https://networking.ringofsaturn.com/

dnstwist - 用于检测拼写错误,网络钓鱼和企业间谍活动的域名置换引擎
https://github.com/elceef/dnstwist

IPinfo - 通过搜索在线资源收集有关IP或域的信息
https://github.com/hiddenillusion/IPinfo

Machinae - 用于收集有关URL,IP或哈希信息的OSINT工具,与Automator相似
https://github.com/hurricanelabs/machinae

mailchecker - 跨语言临时电子邮件检测库
https://github.com/FGRibreau/mailchecker

MaltegoVT - VirusTotal API的Maltego转换,允许域/ IP研究,以及搜索文件哈希和扫描报告
https://github.com/michael-yip/MaltegoVT

Multi rbl - 多个DNS黑名单和转发已确认的反向DNS查询超过300个RBL
http://multirbl.valli.org/

NormShield Services - 用于检测可能的网络钓鱼域,列入黑名单的IP地址和违反帐户的免费API服务
https://services.normshield.com/

SpamCop - 基于IP的垃圾邮件阻止列表
https://www.spamcop.net/bl.shtml

SpamHaus - 基于域和IP的阻止列表
https://www.spamhaus.org/lookup/

Sucuri SiteCheck - 免费网站恶意App和安全扫描程序
https://sitecheck.sucuri.net/

Talos Intelligence - 搜索IP,域或网络所有者(以前是SenderBase)
https://talosintelligence.com/

TekDefense Automater - 用于收集有关URL,IP或哈希值的信息的OSINT工具
http://www.tekdefense.com/automater/

URLQuery - 免费的URL扫描程序
http://urlquery.net/

Whois - DomainTools免费在线whois搜索
https://whois.domaintools.com/

Zeltser’s List - 由Lenny Zeltser编写的免费在线工具,用于研究恶意网站
https://zeltser.com/lookup-malicious-websites/

ZScalar Zulu - Zulu URL风险分析器
https://zulu.zscaler.com/


  • 书籍

最重要的逆向工程书籍

IDA Pro Book http://amzn.com/1593272898

初学者的逆向工程 http://beginners.re/

汇编语言的艺术 http://amzn.com/1593272073

实用逆向工程 http://amzn.com/B00IA22R2Y

逆转:逆向工程的秘密
http://amzn.com/B007032XZK

实用的恶意App分析 http://amzn.com/1593272901

恶意App分析师的食谱
http://amzn.com/B0047DWCMA

灰帽子黑客 http://amzn.com/0071832386

记忆取证的艺术 http://amzn.com/1118825098

黑客:剥削的艺术 http://amzn.com/1593271441

模糊App安全 http://amzn.com/1596932147

App安全评估的艺术 http://amzn.com/0321444426

防病毒黑客手册 http://amzn.com/1119028752

The Rootkit Arsenal
http://amzn.com/144962636X

Windows Internals第1 、2部分
http://amzn.com/0735648735

Windows调试之中 http://amzn.com/0735662789

iOS逆向工程
https://github.com/iosre/iOSAppReverseEngineering


  • 文档和Shellcode

从PDF和Office文档分析恶意JS和shellcode

AnalyzePDF - 用于分析PDF并尝试确定它们是否是恶意的工具
https://github.com/hiddenillusion/AnalyzePDF

box-js - 用于研究JavaScript恶意App的工具,具有JScript / WScript支撑和ActiveX仿真功能
https://github.com/CapacitorSet/box-js

diStorm - 用于分析恶意shellcode的反汇编程序
http://www.ragestorm.net/distorm/

JS Beautifier - JavaScript解包和反混淆
http://jsbeautifier.org/

JS Deobfuscator -
反混淆使用eval或document.write隐藏其代码的简单Javascript
http://www.kahusecurity.com/2015/new-javascript-deobfuscator-tool/

libemu - 用于x86 shellcode仿真的库和工具
http://libemu.carnivore.it/

malpdfobj - 将恶意PDF解构为JSON表示
https://github.com/9b/malpdfobj

OfficeMalScanner - 扫描MS Office文档中的恶意跟踪
http://www.reconstructer.org/code.html

olevba -用于解析OLE和OpenXML文档以及提取有用信息的脚本
http://www.decalage.info/python/olevba

Origami PDF - 用于分析恶意PDF的工具等
https://code.google.com/archive/p/origami-pdf

PDF工具 -
来自Didier Stevens的pdfid,pdf-parser等
https://blog.didierstevens.com/programs/pdf-tools/

PDF X-Ray Lite - PDF分析工具,PDF X-RAY的后端版本
https://github.com/9b/pdfxray_lite

peepdf -用于探索可能的恶意PDF的Python工具
http://eternal-todo.com/tools/peepdf-pdf-analysis-tool

QuickSand - QuickSand是一个紧凑的C框架,用于分析可疑的恶意App文档,以识别不同编码流中的漏洞,并定位和提取嵌入的可实行文件
https://www.quicksand.io/

Spidermonkey - Mozilla的JavaScript引擎,用于调试恶意JS
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey


  • 实践

练习逆向工程,警惕恶意App

Crackmes.de http://www.crackmes.de/

OSX Crackmes https://reverse.put.as/crackmes/

ESET挑战
http://www.joineset.com/jobs-analyst.html

Flare-on挑战 http://flare-on.com/

Github CTF档案馆 http://github.com/ctfs/

逆向工程挑战 http://challenges.re/

xorpd高级装配练习
http://www.xorpd.net/pages/xchg_rax/snip_00.html

Virusshare.com http://virusshare.com/

Contagio http://contagiodump.blogspot.com/

恶意App流量分析
https://malware-traffic-analysis.com/

Malshare http://malshare.com/

恶意App黑名单
http://www.malwareblacklist.com/showMDL.php

malwr.com https://malwr.com/

vxvault http://vxvault.net/


  • 开源威胁情报工具

捕捉和分析IOC

AbuseHelper - 用于接收和重新分发滥用情况和威胁情报的开源框架
https://github.com/abusesa/abusehelper

AlienVault Open Threat Exchange - 共享和协作开发威胁情报
https://otx.alienvault.com/

Combine - 从公开来源收集威胁情报指标的工具
https://github.com/mlsecproject/combine

Fileintel - 智能提取每个文件哈希
https://github.com/keithjjones/fileintel

Hostintel - 智能提取每个主机
https://github.com/keithjjones/hostintel

IntelMQ -
用于使用消息队列处理事件数据的 CERT的工具
https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/incident-handling-automation

I OC Editor - XML IOC文件的免费编辑器
https://www.fireeye.com/services/freeware/ioc-editor.html

ioc_writer -
用于处理Mandiant的OpenIOC对象的Python库
https://github.com/mandiant/ioc_writer

Massive Octo Spice - 以前称为CIF(集体智慧框架),从各种列表聚合IOC,由 CSIRT小工具基金会策划
https://github.com/csirtgadgets/massive-octo-spice

MISP - 由 MISP项目策划的恶意App信息共享平台
https://github.com/MISP/MISP

Pulsedive - 免费的社区驱动威胁情报平台,从开源源收集IOC
https://pulsedive.com/

PyIOCe - Python OpenIOC编辑器
https://github.com/pidydx/PyIOCe

RiskIQ - 研究,连接,标记和共享IP和域
https://community.riskiq.com/

threataggregator - 聚合来自多个来源的安全威胁
https://github.com/jpsenior/threataggregator

ThreatCrowd - 威胁搜索引擎,具有图形可视化功能
https://www.threatcrowd.org/

ThreatTracker - 一个Python脚本,用于监视和生成基于由一组谷歌自定义搜索引擎索引的IOC的警报
https://github.com/michael-yip/ThreatTracker

TIQ-test - 威胁情报源的数据可视化和统计分析
https://github.com/mlsecproject/tiq-test


  • 其他资源

APT笔记 - 与高级持续威胁相关的论文和笔记集
https://github.com/aptnotes/data

文件格式海报 - 常用文件格式(包括PE和ELF)的可视化
https://github.com/corkami/pics

蜜罐项目 - 蜜罐工具,论文和其他资源
http://honeynet.org/

内核模式 - 一个致力于恶意App分析和内核开发的活跃社区
http://www.kernelmode.info/forum/

恶意App - Lenny Zeltser提供的恶意App博客和资源
https://zeltser.com/malicious-software/

恶意App分析搜索 - 来自 Corey Harrell的自定义谷歌搜索引擎
https://cse.google.com/cse/home?cx=011750002002865445766%3Apc60zx1rliu

恶意App分析教程 - Xiang Fu博士的恶意App分析教程,是学习实用恶意App分析的重要资源
http://fumalwareanalysis.blogspot.nl/p/malware-analysis-tutorials-reverse.html

恶意App样本和流量 - 此博客重点先容与恶意App感染相关的网络流量
http://malware-traffic-analysis.net/

实用恶意App分析入门套件 - 此App包包含实用恶意App分析手册中引用的大多数App
https://bluesoul.me/practical-malware-analysis-starter-kit/

RPISEC恶意App分析 - 这些是2015年秋季伦斯勒理工学院恶意App分析课程中使用的课程材料
https://github.com/RPISEC/Malware

WindowsIR:恶意App -
Harlan Carvey关于恶意App的页面
http://windowsir.blogspot.com/p/malware.html

Windows注册表规范 - Windows注册表文件格式规范https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md

/ r / csirt_tools -
CSIRT工具和资源的Subreddit,具有 恶意App分析能力https://www.reddit.com/r/csirt_tools/

/ r / Mal ware - 恶意Appsubreddit
https://www.reddit.com/r/Malware

/ r / ReverseEngineering -
逆向工程subreddit,不仅限于恶意Apphttps://www.reddit.com/r/ReverseEngineering