GitHub:Awesome-Hacking(黑客技能列表-恶意代码)

0 初衷

GitHub这一份黑客技能列表很不错，包含了多个方向的安全。但目前我关注只有逆向工程与恶意代码，所以其他的被暂时略过。
虽然很感谢作者的辛勤付出，但并不打算复制粘贴全套转载。逐条整理是为了从大量资源里梳理出自己觉得实用性很高的东西。

《Awesome-Hacking》
https://github.com/Hack-with-Github/Awesome-Hacking

Awesome Hacking系列-恶意代码分析

• 恶意软件分析：包括恶意软件收集、开源威胁情报、检测、沙箱等
  https://github.com/rshipp/awesome-malware-analysis

1 恶意软件分析

这是基于Awesome-Hacking列表工具中的一部分工具，需要注册用户或是不常用的工具不进行记录。

1.1 梳理恶意软件分析的工具集合

• 匿名软件

• • Shadowsocks 这是我常用的

• 蜜罐

• • 目前没有需要用到蜜罐的需求

• 恶意软件样本库

• • Contagio - 近期的恶意软件样本和分析的收集(注意：需要FQ)
    http://contagiodump.blogspot.com/
• • Exploit Database - Exploit 和 shellcode 样本
    https://www.exploit-db.com/
• • MalwareDB - 恶意软件样本库
    http://malwaredb.malekal.com/
• • Tracker h3x - 勒索者恶意软件下载地址和C&C域名的聚合
    http://tracker.h3x.eu/families
• • VX Vault - 恶意软件样本的C&C域名与IP
    http://vxvault.net/ViriList.php

• 开源威胁情报

• • AlienVault Open Threat Exchange - 威胁情报的共享与合作
    https://otx.alienvault.com/
• • Combine - 一款可以从公开的信息源中得到威胁情报信息（MaxMind GeoIP ASN Database、MaxMind GeoIP Database、Farsight Security's DNSDB）
    https://github.com/mlsecproject/combine
• • Fileintel - 文件情报，可以把病毒HASH保存在文本文件提交给Virustotal等网站进行查询，生成报表
    https://github.com/keithjjones/fileintel
• • Hostintel - 主机情报，可以把IPH保存在文本文件提交给IP查询网址进行查询，生成列表（Country、Postal、City、State）
    https://github.com/keithjjones/hostintel
• • ThreatCrowd - 带有图形可视化的威胁搜索引擎
    https://www.threatcrowd.org/
• • Cybercrime tracker - 多个僵尸网络的活动跟踪
    http://cybercrime-tracker.net/
• • Internet Storm Center (DShield) - 日志和可搜索的事件数据库，并且带有 Web API(非官方 Python 库).
    https://isc.sans.edu/
• • malc0de - 搜索事件数据库
    http://malc0de.com/database/
• • Malware Domain List - 搜索和分享恶意软件 URL
    http://www.malwaredomainlist.com/mdl.php
• • Ransomware overview - 勒索软件的概述列表
    https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml
• • threatRECON - Threat Recon™是由Wapack Labs开发的免费网络威胁情报分析服务（搜索指标，每月最多一千次）
    https://threatrecon.co/

• 检测与分类

• • AnalyzePE - Windows PE 文件的分析器
    https://github.com/hiddenillusion/AnalyzePE
• • ClamAV - 开源反病毒引擎
    http://www.clamav.net/
• • Detect-It-Easy - 用于确定文件类型的程序
    https://github.com/horsicq/Detect-It-Easy
• • PEV - 为正确分析可疑的二进制文件提供功能丰富工具的 PE 文件多平台分析工具集
    http://pev.sourceforge.net/
• • TrID - 文件识别
    http://mark0.net/soft-trid-e.html
• • YARA - 分析师利用的模式识别工具
    http://virustotal.github.io/yara/
• • Yara rules generator - 基于恶意样本生成 yara 规则，也包含避免误报的字符串数据库
    https://github.com/Neo23x0/yarGen

• 在线扫描与沙盒

• • APK Analyzer - APK 免费动态分析
    https://www.apk-analyzer.net/
• • AndroTotal - 利用多个移动反病毒软件进行免费在线分析 App
    https://andrototal.org/scan/result/Ys5J9S-WSba36K5b4OosNQ
• • AVCaesar - Malware.lu 在线扫描器和恶意软件集合
    https://avcaesar.malware.lu/
• • Cryptam - 分析可疑的 Office 文档
    http://www.cryptam.com/
• • cuckoo-modified - GPL 许可证的 Cuckoo 沙盒的修改版，由于法律原因作者没有将其分支合并
    https://github.com/brad-accuvant/cuckoo-modified
• • cuckoo-modified-api - 用于控制 cuckoo-modified 沙盒的 Python API
    https://github.com/brad-accuvant/cuckoo-modified
• • Document Analyzer - DOC 和 PDF 文件的免费动态分析
    https://www.document-analyzer.net/
• • DRAKVUF - 动态恶意软件分析系统
    https://github.com/tklengyel/drakvuf
• • File Analyzer - 免费 PE 文件动态分析
    https://www.file-analyzer.net/
• • firmware.re - 解包、扫描、分析绝大多数固件包
    http://firmware.re/
• • Hybrid Analysis - 由 VxSandbox 支持的在线恶意软件分析工具
    https://www.hybrid-analysis.com/
• • Jotti - 免费在线多反病毒引擎扫描器
    https://virusscan.jotti.org/en
• • Limon - 分析 Linux 恶意软件的沙盒
    https://github.com/monnappa22/Limon
• • Malheur - 恶意行为的自动化沙盒分析
    https://github.com/rieck/malheur
• • Malwr - 免费的在线 Cuckoo 沙盒分析实例(但是会共享样本，分析的也只是静态)
    https://malwr.com/analysis/
• • Metadefender.com - 扫描文件、哈希或恶意软件的 IP 地址
    https://www.metadefender.com/#!/scan-file
• • NetworkTotal - 一个分析 pcap 文件的服务，使用配置了 EmergingThreats Pro 的Suricata 快速检测病毒、蠕虫、木马和各种恶意软件
    https://www.networktotal.com/index.html
• • Noriben - 使用 Sysinternals Procmon 收集恶意软件在沙盒环境下的进程信息
    https://github.com/Rurik/Noriben
• • PDF Examiner - 收集可疑的 PDF 文件
    http://www.pdfexaminer.com/
• • Sand droid - 自动化、完整的 Android 应用程序分析系统
    http://sanddroid.xjtu.edu.cn/
• • VirusTotal - 免费的在线恶意软件样本和 URL 分析
    https://www.virustotal.com/

• 网络ip、域名分析

• • Dig - 免费的在线 dig 以及其他网络工具
    https://networking.ringofsaturn.com/Tools/dig.php
• • dnstwist - 用于检测钓鱼网站和公司间谍活动的域名排名网站
    https://github.com/elceef/dnstwist
• • IPinfo - 通过搜索在线资源收集关于 IP 或 域名的信息
    https://github.com/hiddenillusion/IPinfo/blob/master/IPinfo.py
• • MaltegoVT - 让 Maltego 使用 VirusTotal API，允许搜索域名、IP 地址、文件哈希、报告
    https://github.com/michael-yip/MaltegoVT
• • SenderBase - 搜索 IP、域名或网络的所有者
    https://talosintelligence.com/reputation_center/lookup?search=chinahope.net#email-history
• • TekDefense Automator - 收集关于 URL、IP 和哈希值的 OSINT 工具
    http://www.tekdefense.com/automater/
• • Whois - DomainTools 家免费的 whois 搜索
    http://whois.domaintools.com/

• 网页恶意软件分析

• • Firebug - Firefox Web 开发扩展
    http://getfirebug.com/
• • Java Decompiler - 反编译并检查 Java 的应用
    http://jd.benow.ca/
• • jsunpack-n - 一个 javascript 解压软件，可以模拟浏览器功能
    https://github.com/urule99/jsunpack-n
• • Krakatau - Java 的反编译器、汇编器与反汇编器
    https://github.com/Storyyeller/Krakatau
• • Malzilla - 分析恶意 Web 页面
    http://malzilla.sourceforge.net/
• • xxxswf - 分析 Flash 文件的 Python 脚本
    http://hooked-on-mnemonics.blogspot.jp/2011/12/xxxswfpy.html

• 文档和Shellcode

• • AnalyzePDF - 分析 PDF 并尝试判断其是否是恶意文件的工具
    https://github.com/hiddenillusion/AnalyzePDF
• • diStorm - 分析恶意 Shellcode 的反汇编器
    http://i53.hatenablog.jp/entry/2015/04/27/171932
    http://www.ragestorm.net/distorm/
• • JS Beautifier - JavaScript 脱壳和去混淆
    http://jsbeautifier.org/
• • JS Deobfuscator - 对那些使用 eval 或 document.write 的简单 Javascript 去混淆
    www.kahusecurity.com/2015/new-javascript-deobfuscator-tool/
• • malpdfobj - 解构恶意 PDF 为 JSON 表示
    https://github.com/9b/malpdfobj
• • OfficeMalScanner - 扫描 MS Office 文档中的恶意跟踪
    http://www.reconstructer.org/code.html
• • olevba - 解析 OLE 和 OpenXML 文档，并提取有用信息的脚本
    http://www.decalage.info/python/olevba
• • Origami PDF - 一个分析恶意 PDF 的工具
    https://code.google.com/archive/p/origami-pdf/
• • PDF Tools - Didier Stevens 开发的许多关于分析 PDF 的工具
    https://blog.didierstevens.com/programs/pdf-tools/
• • PDF X-Ray Lite - PDF 分析工具，PDF X-RAY 的无后端版本
    https://github.com/9b/pdfxray_lite
• • peepdf - 用来探索可能是恶意的 PDF 的 Python 工具
    http://eternal-todo.com/tools/peepdf-pdf-analysis-tool
• • QuickSand - QuickSand 是一个紧凑的 C 框架，用于分析可疑的恶意软件文档，以识别不同编码流中的漏洞，并定位和提取嵌入的可执行文件
    https://www.quicksand.io/
• • Spidermonkey - Mozilla 的 JavaScript 引擎，用来调试可疑 JS 代码
    https://developer.mozilla.org/en-US/docs/Mozilla/Projects/SpiderMonkey

• 文件提取

• • 目前没有需要用到文件提取的需求

• 去混淆

• • Balbuzard - 去除混淆(XOR、ROL等)的恶意软件分析工具
    https://bitbucket.org/decalage/balbuzard/wiki/Home
• • de4dot - .NET 去混淆与脱壳
    https://github.com/0xd4d/de4dot
• • ex_pe_xor 和 iheartxor - Alexander Hanel 开发的用于去除单字节异或编码的文件的两个工具
    http://hooked-on-mnemonics.blogspot.jp/2014/04/expexorpy.html
    http://hooked-on-mnemonics.blogspot.jp/p/iheartxor.html
• • FLOSS - FireEye 实验室的混淆字符串求解工具，使用高级静态分析技术来自动去除恶意软件二进制文件中的字符串
    https://github.com/fireeye/flare-floss
• • NoMoreXOR - 通过频率分析来猜测一个 256 字节的异或密钥
    https://github.com/hiddenillusion/NoMoreXOR
• • PackerAttacker - Windows 恶意软件的通用隐藏代码提取程序
    https://github.com/BromiumLabs/PackerAttacker
• • unpacker - 基于 WinAppDbg 的自动 Windows 恶意软件脱壳器
    https://github.com/malwaremusings/unpacker/
• • unxor - 通过已知明文攻击来猜测一个异或密钥
    https://github.com/tomchop/unxor/
• • VirtualDeobfuscator - 虚拟逆向分析工具
    https://github.com/jnraber/VirtualDeobfuscator
• • XORBruteForcer - 爆破单字节异或密钥的 Python 脚本
    http://eternal-todo.com/var/scripts/xorbruteforcer
• • XORSearch 和 XORStrings - Didier Stevens 开发的用于寻找异或混淆后数据的两个工具
    http://blog.didierstevens.com/programs/xorsearch/
• • xortool - 猜测异或密钥和密钥的长度
    https://github.com/hellman/xortool

• 调试和逆向工程

• • angr - UCSB 的安全实验室开发的跨平台二进制分析框架
    https://github.com/angr/angr
• • BAP - CMU 的安全实验室开发的跨平台开源二进制分析框架
    https://github.com/BinaryAnalysisPlatform/bap
• • barf - 跨平台、开源二进制分析逆向框架
    https://github.com/programa-stic/barf-project
• • binnavi - 基于图形可视化的二进制分析 IDE
    https://github.com/google/binnavi
• • Capstone - 二进制分析反汇编框架，支持多种架构和许多语言
    https://github.com/aquynh/capstone
• • dnSpy - .NET 编辑器、编译器、调试器
    https://github.com/0xd4d/dnSpy
• • Evan's Debugger (EDB) - Qt GUI 程序的模块化调试器
    http://codef00.com/projects#debugger
• • Fibratus - 探索、跟踪 Windows 内核的工具
    https://github.com/rabbitstack/fibratus
• • FPort - 实时查看系统中打开的 TCP/IP 和 UDP 端口，并映射到应用程序
    https://www.mcafee.com/us/downloads/free-tools/fport.aspx
• • GDB - GNU 调试器
    http://www.sourceware.org/gdb/
• • GEF - 针对开发人员和逆向工程师的 GDB 增强版
    https://github.com/hugsy/gef
• • hackers-grep - 用来搜索 PE 程序中的导入表、导出表、字符串、调试符号
    https://github.com/codypierce/hackers-grep
• • IDA Pro - Windows 反汇编和调试器，有免费评估版
    https://www.hex-rays.com/products/ida/index.shtml
• • Immunity Debugger - 带有 Python API 的恶意软件调试器
    http://debugger.immunityinc.com/
• • ltrace - Linux 可执行文件的动态分析
    http://ltrace.org/
• • objdump - GNU 工具集的一部分，面向 Linux 二进制程序的静态分析
    https://en.wikipedia.org/wiki/Objdump
• • OllyDbg - Windows 可执行程序汇编级调试器
    http://www.ollydbg.de/
• • PANDA - 动态分析平台
    https://github.com/moyix/panda
• • PEDA - 基于 GDB 的 Pythton Exploit 开发辅助工具，增强显示及增强的命令
    https://github.com/longld/peda
• • pestudio - Windows 可执行程序的静态分析
    https://winitor.com/
• • plasma - 面向 x86/ARM/MIPS 的交互式反汇编器
    https://github.com/joelpx/plasma
• • PPEE (puppy) - 专业的 PE 文件资源管理器
    https://www.mzrst.com/
• • Process Explorer - 高级 Windows 任务管理器
    https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
• • Process Monitor - Windows 下高级程序监控工具
    https://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
• • PSTools - 可以帮助管理员实时管理系统的 Windows 命令行工具
    https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
• • Pyew - 恶意软件分析的 Python 工具
    https://github.com/joxeankoret/pyew
• • Radare2 - 带有调试器支持的逆向工程框架
    http://www.radare.org/r/
• • RetDec - 可重定向的机器码反编译器，同时有在线反编译服务和 API
    https://retdec.com/
• • ROPMEMU - 分析、解析、反编译复杂的代码重用攻击的框架
    https://github.com/vrtadmin/ROPMEMU
• • SMRT - Sublime 3 中辅助恶意软件分析的插件
    https://github.com/pidydx/SMRT
• • strace - Linux 可执行文件的动态分析
    http://sourceforge.net/projects/strace/
• • Triton - 一个动态二进制分析框架
    http://triton.quarkslab.com/
• • Udis86 - x86 和 x86_64 的反汇编库和工具
    https://github.com/vmt/udis86
• • Vivisect - 恶意软件分析的 Python 工具
    https://github.com/vivisect/vivisect
• • X64dbg - Windows 的一个开源 x64/x32 调试器
    https://github.com/x64dbg/

• 网络

• • Bro - 支持惊人规模的文件和网络协议的协议分析工具
    https://www.bro.org/
• • BroYara - 基于 Bro 的 Yara 规则集
    https://github.com/hempnall/broyara
• • CapTipper - 恶意 HTTP 流量管理器
    https://github.com/omriher/CapTipper
• • chopshop - 协议分析和解码框架
    https://github.com/MITRECND/chopshop
• • Fiddler - 专为 Web 调试开发的 Web 代理
    http://www.telerik.com/fiddler
• • Hale - 僵尸网络 C&C 监视器
    https://github.com/pjlantz/Hale
• • INetSim - 网络服务模拟。建设一个恶意软件分析实验室十分有用
    http://www.inetsim.org/
• • Laika BOSS - Laika BOSS 是一种以文件为中心的恶意软件分析和入侵检测系统
    https://github.com/lmco/laikaboss
• • Malcom - 恶意软件通信分析仪
    https://github.com/tomchop/malcom
• • Maltrail - 一个恶意流量检测系统，利用公开的黑名单来检测恶意和可疑的通信流量，带有一个报告和分析界面
    https://github.com/stamparm/maltrail
• • mitmproxy - 拦截网络流量通信
    https://mitmproxy.org/
• • Moloch - IPv4 流量捕获，带有索引和数据库系统
    https://github.com/aol/moloch
• • NetworkMiner - 有免费版本的网络取证分析工具
    http://www.netresec.com/?page=NetworkMiner
• • ngrep - 像 grep 一样收集网络流量
    http://ngrep.sourceforge.net/
• • PcapViz - 网络拓扑与流量可视化
    https://github.com/mateuszk87/PcapViz
• • Tcpdump - 收集网络流
    http://www.tcpdump.org/
• • tcpick - 从网络流量中重构 TCP 流
    http://tcpick.sourceforge.net/
• • tcpxtract - 从网络流量中提取文件
    http://tcpxtract.sourceforge.net/
• • Wireshark - 网络流量分析工具
    https://www.wireshark.org/

• 内存取证

• • 目前没有需要用到内存取证的需求

• Windows 神器

• • AChoir - 一个用来收集 Windows 实时事件响应脚本集
    https://github.com/OMENScan/AChoir
• • python-evt - 用来解析 Windows 事件日志的 Python 库
    https://github.com/williballenthin/python-evt
• • python-registry - 用于解析注册表文件的 Python 库
    http://www.williballenthin.com/registry/
• • RegRipper (GitHub) - 基于插件集的工具
    https://regripper.wordpress.com/

• 存储和工作流

• • 目前没有需要用到这类工具的需求

• 杂项

• • 目前没有需要用到这类工具的需求

1.2 相关资源

• 书籍
  基础恶意软件分析阅读书单

• • Malware Analyst's Cookbook and DVD ->中文版本《恶意软件分析诀窍与工具箱》 打击恶意代码的工具和技术
• • Practical Malware Analysis ->中文版本《恶意代码实战解析》 剖析恶意软件的手边书

• -Practical Reverse Engineering ->中文版本 《逆向工程实战》 中级逆向工程

• • Real Digital Forensics - 计算机安全与应急响应
• • The Art of Memory Forensics - 在 Windows、Linux 和 Mac 系统的内存中检测恶意软件和威胁
• • The IDA Pro Book -> 《IDA Pro权威指南(第2版)》 世界上最流行的反汇编器的非官方指南
• • The Rootkit Arsenal -> 《Rootkit：系统灰色地带的潜伏者》 从反取证角度，深入、系统解读rootkit的本质和核心技术，以及如何构建属于自己的Rootkit武器，包含大量模块化示例

• Twitter

• • Adamb @Hexacorn
    https://twitter.com/Hexacorn
• • Andrew Case @attrc
    https://twitter.com/attrc
• • Binni Shah @binitamshah
    https://twitter.com/binitamshah
• • Claudio @botherder
    https://twitter.com/botherder
• • Dustin Webber @mephux
    https://twitter.com/mephux
• • Glenn @hiddenillusion
    https://twitter.com/hiddenillusion
• • jekil @jekil
    https://twitter.com/jekil
• • Jurriaan Bremer @skier_t
    https://twitter.com/skier_t
• • Lenny Zeltser @lennyzeltser
    https://twitter.com/lennyzeltser
• • Liam Randall @hectaman
    https://twitter.com/hectaman
• • Mark Schloesser @repmovsb
    https://twitter.com/repmovsb
• • Michael Ligh (MHL) @iMHLv2
    https://twitter.com/iMHLv2
• • Monnappa @monnappa22
    https://twitter.com/monnappa22
• • Open Malware @OpenMalware
    https://twitter.com/OpenMalware
• • Richard Bejtlich @taosecurity
    https://twitter.com/taosecurity
• • Volatility @volatility
    https://twitter.com/volatility

• 其他

• • /r/Malware - 恶意软件的子版块
    https://www.reddit.com/r/Malware
• • /r/ReverseEngineering - 逆向工程子版块，不仅限于恶意软件
    https://www.reddit.com/r/ReverseEngineering

2 参考

• 1、GitHub 万星推荐：黑客成长技术清单
  http://www.4hou.com/info/news/7061.html

• 2、恶意软件分析大合集
  https://github.com/rshipp/awesome-malware-analysis/blob/master/恶意软件分析大合集.md