恶意代码分析-工具收集
恶意代码分析-工具收集
恶意代码分析实战
Strings:字符串查找工具
https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings
Resource Hacker工具:查看资源节内容
恶意软件自动化分析工具套件
恶意软件分析套件:https://github.com/Cherishao/Analysis-Tools
-
PeStudio:
windows可执行二进制文件静态分析取证工具
-
MASTIFF:
APT攻击样本静态分析工具
-
http://sourceforge.net/projects/mastiff/files/latest/download
-
COMODO:
科摩多未知文件分析工具
-
https://consumer.valkyrie.comodo.com/apt_tool/download/UnknownFileHunter.exe
-
VirusTotal:
在线病毒,恶意软件,url扫描器
-
ThreatTrack:
在线病毒,恶意软件,url扫描器
-
virscan:
在线病毒,恶意软件,url扫描器
-
threatexpert:
在线病毒,恶意软件,url扫描器
-
malwareviz:
在线病毒,恶意软件,url扫描器
-
vicheck:
在线病毒,恶意软件,url扫描器
-
metadefender:
在线病毒,恶意软件,url扫描器
===================================================
文档分析工具
-
OfficeMalScanner:
MS Office文档检测工具
-
OfficeMalScanner:
微软官方的office文档二进制格式查看工具
-
http://download.microsoft.com/download/1/2/7/127ba59a-4fe1-4acd-ba47-513ceef85a85/offvis.zip
-
Cryptam Document Scanner:
在线的恶意文档扫描器
-
PDF Examiner:
在线的PDF文档扫描器
-
Pdf Tools:
pdf文档解析工具集
-
PDF X-RAY:
多pdf文档检测工具
-
peepdf:
pdf文档解析分析工具
-
origami:
pdf文档解析分析工具
-
PDF Stream Dumper:
pdf文档检测工具
===================================================
JavaScript分析工具
-
Firebug:
开源的web开发工具,用于实时的编辑,调试,监视CSS,HTML,JavaScript代码
-
jsunpack-n:
解码javascript脚本的工具
-
JavaScript Beautifier:
美化javascript代码的工具
-
js deobfuscator:
javascript去混淆工具
-
Web Inspector:
OSX或者ios系统的javascript代码调试工具
-
Rhino:
基于java的javascript引擎实现
-
SpiderMonkey 24:
火狐24中的Javascript引擎
-
https://ftp.mozilla.org/pub/mozilla.org/js/mozjs-24.2.0.tar.bz2
-
Malzilla:
高级恶意代码检测工具,用于检测基于web的漏洞利用,对javascript代码进行解码,去混淆
-
https://sourceforge.net/projects/malzilla/files/Malzilla Win32 Binary package/
===================================================
系统&文件监视工具
-
Sysinternals Suite:
Windows免费的工具套件,涵盖-文件磁盘工具,网络工具,进程工具,安全工具,系统信息工具,其他类型工具等等
-
http://download.sysinternals.com/files/SysinternalsSuite.zip
-
Regshot:
开源(LGPL)的注册表静态比较工具
-
https://nchc.dl.sourceforge.net/project/regshot/regshot/1.9.0/Regshot-1.9.0.7z
-
CaptureBat:
Win32平台下应用程序行为分析工具
-
https://www.honeynet.org/files/CaptureBAT-Setup-2.0.0-5574.exe
-
SysAnalyzer:
恶意代码行为分析工具
-
Process Hacker:
开源的进程浏览,内存编辑工具
-
http://processhacker.googlecode.com/files/processhacker-2.33-bin.zip
-
GMER:
AntiRookit工具
-
ProcDot:
恶意软件行为分析工具
-
windows:http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_windows.zip
-
linux:http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_linux.zip
-
Radiography:
windows平台下的取证工具
-
RunScanner:
系统隐藏信息扫描工具
-
Noriben:
沙箱
-
API Monitor:
API调用情况监视工具
-
http://www.rohitab.com/download/api-monitor-v2r13-x86-x64.zip
===================================================
shellcode分析工具
-
ShellDetect:
shellcode检测工具
-
libmu:
用C语言实现的基于x86的shellcode检测的库
-
https://ncu.dl.sourceforge.net/project/nepenthes/libemu development/0.2.0/libemu-0.2.0.tar.gz
-
Shellcode2Exe:
Shellcode转exe工具
-
ConvertShellcode:
将shellcode转换为x86汇编指令,便于理解
-
Shellcode(Malware-Tracker):
shellcode在线分析服务
-
JMP2IT:
将EIP的控制权转移到shellcode在文件中的指定偏移处,便于暂停对恶意代码进行分析取证
===================================================
网络分析工具
-
WireShark:
网络协议抓包分析工具
嗅探恶意代码通信数据包 -
http://wiresharkdownloads.riverbed.com/wireshark/win32/WiresharkPortable-1.12.1.paf.exe
-
FakeNet:
用于Windows恶意软件分析的网络仿真工具
-
INetSim:
模拟各种Internet交互的软件,目前支持的协议有HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、DNS、FTP/FTPS、TFTP、IRC,以及NTP等
基于Linux模拟常见网络服务的免费软件,通过模拟服务(HTTP、HTTPS、FTP、IRC、DNS、SMTP等),分析未知恶意代码的网络行为。 -
ncat:
TCP/IP瑞士军刀,支持端口扫描,标志提取,端口转发/代理,文件传输,蜜罐
-
APT Protocol Decoders:
各种解码器
-
Fake DNS:
基于正则表达式的python中间人DNS服务器,支持DNS的重绑定攻击
-
Apate DNS:
图形化的DNS响应控制工具
ApateDNS可以对用户指定的IP地址给出虚假的DNS响应,用你指定的IP地址去响应DNS查询请求。 -
https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip
-
Fake SMTP:
SMTP服务器伪造工具,用于测试应用程序的电子邮件功能
-
http://nilhcem.github.io/FakeSMTP/downloads/fakeSMTP-latest.zip
-
Honeyd:
小型的网络蜜罐
-
tcp dump:
强大的命令行网络数据包分析工具
-
Fiddler:
HTTP/HTTPS抓包工具
-
BurpSuite:
渗透测试中使用广泛的一款抓包工具,还带有web漏洞扫描,爬虫,暴力破解等功能
-
Network Miner:
跨平台的网络取证分析工具
-
http://sourceforge.net/projects/networkminer/files/latest/download
-
Ngrep:
网路数据包嗅探分析工具
-
http://prdownloads.sourceforge.net/ngrep/ngrep-1.45-win32-bin.zip?download
-
NetWitness:
原始网络数据包分析工具
-
http://download.cnet.com/NetWitness-Investigator/3001-2085_4-10905215.html?hlndr=1
===================================================
URL分析工具
-
HTTP Viewer:
http请求工具
-
UrlQuery:
在线的url测试分析服务
-
URL Void:
网站域名黑名单扫描,方便检测可能有危险的网站-存在恶意软件或者欺诈活动的
-
Norton Safe Web:
诺顿提供的网站安全性检测服务
-
vURL:
快速安全的检测恶意或者可疑网站
-
Spondulas:
浏览器模拟器/解析器,用于检索和捕获存在恶意软件的页面
-
https://sourceforge.net/projects/spondulas/?source=typ_redirect
-
VirusTotal:
在线URL检测服务
-
PhishTank:
检测钓鱼页面
-
netrenderer:
显示IE 5,6,7,8,9,10,11是如何呈现页面的
===================================================
SWF分析工具
-
SWFTools:
用于处理Adobe Flash文件(SWF)的实用程序集合
-
windows:http://www.swftools.org/swftools-2013-04-09-1007.exe
-
linux:http://www.swftools.org/swftools-2013-04-09-1007.tar.gz
-
SWF Investigator:
SWF检测工具,帮助Flash开发者全面分析SWF文件中元素,资源,AMF通讯,指令集装配方式,AS3库等
-
windows:http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_win_update_052213.exe
-
osx:http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_mac_update_052213.zip
-
SWF decompiler:
领先的Flash反编译器&Flash转HTML5工具
-
SWFRETools:
Adobe Flash Player漏洞分析,恶意SWF文件分析工具集合
-
https://github.com/downloads/sporst/SWFREtools/swfretools_140.zip
-
Flasm:
SWF反汇编工具
-
Flare:
提取SWF中所有ActionScript脚本工具
-
xxxswf:
用于扫描,压缩,解压缩,分析Flash SWF文件的脚本
-
https://bitbucket.org/Alexander_Hanel/xxxswf/get/244e32357dd5.zip
===================================================
内存取证分析工具
-
Volatility:
支持windows,linux,mac os,android等平台的内存取证框架
-
Volatilitux:
对于Linux系统来说,Volatilitux相当于Volatility
-
Linux Memory Extractor[LIME]:
可加载内核模块(LKM),允许从Linux和基于Linux的Android设备获取RAM内存
-
MemoryAnalysis:
可加载内核模块(LKM),允许从Linux和基于Linux的Android设备获取RAM内存
-
Memoryze:
火眼公司打造的内存取证软件
-
https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-memoryze.zip
-
Redline:
火眼公司推出主要用于用户主机取证调查的工具
===================================================
调试器
-
Ollydbg:
win32平台下的ring3调试器
-
Immunity Debugger:
win32平台下的漏洞调试,恶意代码分析,逆向工程的利器
-
http://debugger.immunityinc.com/getID.py?hash=705393dfcc9066537a1141a1c1cca2790bdb830a
-
Windbg:
微软官方提供的用户以及内核模式调试利器
-
https://www.microsoft.com/en-us/download/confirmation.aspx?id=8279
-
GDB:
Linux平台下的调试器
-
EDB:
Linux平台下的调试器
===================================================
反汇编工具
- IDA Pro:
跨平台的反汇编神器
- https://www.hex-rays.com/products/ida/support/download_freeware.shtml
IDA7.2破解版本
## 更新说明
https://www.hex-rays.com/products/ida/7.2/index.shtml
## 破解文章
作者阐述了一下对IDA安装密码的攻击方法,通过枚举多种语言默认的随机数发生器,发现了IDA生成随机数的语言和版本,继而可以利用同样的方法在10min左右可以暴力算出有效的安装密码
https://devco.re/blog/2019/06/21/operation-crack-hacking-IDA-Pro-installer-PRNG-from-an-unusual-way-en/
## 下载地址
ida pro 7.2 x64版本
安装密码
passwd :7JpT48a7Y2fv
链接:https://pan.baidu.com/s/1UqpaacGafLcPObxWOUIuDQ
提取码:54d4
下载地址1:https://mega.nz/#!MvADFShZ!KBBhPo734cvq8s_hqerHV6_L0-hyf99LrmrSDQ6KH-U
下载地址2:https://share.weiyun.com/5Eg1MVA
-
Hopper:
支持Windows,Linux,OSX等平台下应用程序的逆向工程
-
Ubuntu:http://www.hopperapp.com/HopperWeb/downloads_linux/hopperv3-3.5.9.1.deb
-
Fedora:http://www.hopperapp.com/HopperWeb/downloads_linux/Hopper-3.5.9.1-1.x86_64.rpm
-
Capstone:
轻量级的多平台多架构支持的反汇编框架。支持包括ARM,ARM64,MIPS和x86/x64平台
-
Cerbero Profiler:
恶意文档格式分析工具
-
windows:https://store.cerbero.io/static/downloads/profiler/profiler_setup_2.2.0.exe
-
osx:https://store.cerbero.io/static/downloads/profiler/Profiler_2.2.0.dmg
-
linux:https://store.cerbero.io/static/downloads/profiler/profiler_2.2.0.tar.gz
===================================================
十六进制编辑器
-
Hexplorer:
Windows平台下的十六进制编辑器
-
https://www.hex-rays.com/products/ida/support/download_freeware.shtml
-
Capstone:
轻量级的多平台多架构支持的反汇编框架。支持包括ARM,ARM64,MIPS和x86/x64平台
-
010Editor:
跨平台的文件格式分析编辑工具
-
http://download.sweetscape.com/010EditorWin32Installer702.exe
-
BinText:
文本文件扫描工具
-
http://b2b-download.mcafee.com/products/tools/foundstone/bintext303.zip
-
Hackman Suite:
十六进制编辑器
-
HXD:
十六进制编辑器
===================================================
查壳工具
-
RDG Packer Detector:
查壳工具
-
http://www.rdgsoft.net/downloads/RDG Packer Detector v0.7.3.2014.rar
-
Peid:
查壳工具
-
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml
-
Language 2000:
查壳工具
-
Exescan:
PE文件检测工具
-
Quick Unpack:
通用脱壳工具
===================================================
DNS&IP信息搜集工具
-
MXTOOLBOX:
快速,准确的网络诊断查找,搜集所有的MX记录,DNS,黑名单和SMTP诊断的一个集成工具
-
CyINT Internet Utilities:
提供实时的网络信息搜集
-
Domain Tools:
Whois信息查询系统
-
Robtex:
Whois信息查询系统
-
Network-Tools:
域名/IP信息收集工具
-
DomainDossier:
域名/IP信息收集工具
-
dns lookup:
DNS记录查询系统
-
dns lookup:
域名/IP信息综合查询系统
-
dnstools:
DNS查询系统
-
dnsstuff:
网站信息综合查询工具
===================================================
PE分析工具
-
PE Insider:
可执行文件PE格式查看工具
-
CFF Explorer:
PE文件格式编辑工具
-
LordPe:
PE文件格式编辑工具
-
http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip
-
PeView:
PE文件格式编辑工具
-
PE Explorer:
PE文件格式编辑工具
-
ChimPrec:
导入表重建工具
-
http://www.woodmann.com/collaborative/tools/images/Bin_CHimpREC_2008-6-24_13.59_CHimpREC.zip
-
Malcode Analysis Pack:
恶意代码分析工具包
===================================================
虚拟机镜像
-
REMnux:
REMnux是一份轻量级的、基于Ubuntu的Linux发行,用于辅佐分析人员对恶意软件进行逆向工程
-
Kali:
渗透测试工程师专用系统
-
http://cdimage.kali.org/kali-1.0.9a/kali-linux-1.0.9a-amd64.iso
-
santoku:
包括了一系列开源安全工具,可以帮助你的移动设备进行取证、恶意软件分析和安全测试
-
https://sourceforge.net/projects/santoku/files/latest/download
-
OSAF:
安卓取证分析套件
-
http://sourceforge.net/projects/osaftoolkit/files/latest/download
-
SIFT:
SANS推出的数字取证工具包
-
https://digital-forensics31.sans.org/community/download-sift-kit/3.0
-
MobiSec:
在线的安全审计,恶意软件(android app)检测和分析工具
-
http://sourceforge.net/projects/mobisec/files/latest/download?source=files
进程监视器
ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。
通过Filter-Filter打开过滤菜单,过滤文件行为
查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。
进程浏览器
Process Explorer(进程浏览器)监视系统上执行的进程,以树状结构进行显示。
- 查看进程中的DLL
- 验证签名
- 比较进程的字符串(内存、文件),判断有没有被内存注入
- Find DLL功能:在磁盘上尝试发现一个恶意的DLL,并且想知道是否有运行进程使用了这个DLL,就可以进行查找。
监听某个端口-NetCat
通过ApateDNS把恶意代码请求的C2网址查询请求重定向到本机,可以在执行恶意代码前,用NetCat监听连接。
监听80端口请求:
netcat -l -p 80