恶意软件分析资源

本文汇总恶意软件分析中样本来源、分析工具、技术网站等资源...

0x01 样本来源

1. 下载网站

• https://s.threatbook.cn/ 微步云沙箱
• https://www.virustotal.com/ 在线样本获取
• https://app.any.run/ 在线样本分析
• https://bazaar.abuse.ch/browse/ MalwareBazaar Database
• https://vx-underground.org/samples.html 恶意软件在线下载
• https://github.com/ytisf/theZoo 恶意软件分析开源项目
• https://objective-see.com/malware.html MacOS恶意软件样本
• http://contagiodump.blogspot.com/ Contagio恶意软件收集平台
• https://www.hybrid-analysis.com/ Payload Security恶意软件分析
• http://vxvault.net/ViriList.php 该网站为恶意软件和urls的收集

2. 分类样本

• https://github.com/swisskyrepo/PayloadsAllTheThings Payloads合集
• https://www.exploit-db.com/ Exploit 和 shellcode 样本
• https://docs.google.com/spreadsheets/ 勒索软件列表
• https://github.com/tennc/webshell Webshell资源
• https://github.com/milabs/awesome-linux-rootkits Linux rootkit合集
• https://github.com/d30sa1/RootKits-List-Download Rootkit下载列表
• https://github.com/alphaSeclab/awesome-rat 远控木马合集
• https://github.com/maestron/botnets Botnet源码合集

3. 样本合集

• https://github.com/vxunderground/MalwareSourceCode 不同平台不同语言恶意软件源码
• https://github.com/InQuest/malware-samples 恶意软件样本与分析文章集合
• https://github.com/RamadhanAmizudin/malware Malwaretech恶意样本集
• https://github.com/mstfknn/malware-sample-library 恶意软件样本库
• https://github.com/ashishb/android-malware Andorid恶意样本库

0x02 分析工具

1. Linux平台

a. 静态分析

• file – 显示文件的类型
• strings– 从文件中提取字符串
• diff – 区分文件
• nm – 提取符号表（函数导入、导出）
• strace – 跟踪系统调用和信号
• DiE – 封隔器标识符（推荐）

b. 动态分析

• Wireshark – 网络分析工具
• tcpdump – 网络分析工具
• MiTMProxy –一个交互式 SSL/TLS 拦截 HTTP 代理
• NetworkMiner – 嗅探器和 PCAP 解析器
• Burp Suite – 适用于任何浏览器、系统或平台的免费网络代理
• INetSim – 互联网服务模拟套件

适用于 Linux 的 Procmon

c. 逆向工具

• GDB – GNU 调试器
• IDA Free/Pro – 反汇编器和调试器
• Hopper – 反汇编器和调试器
• radare2 - 免费和开源的反汇编器和调试器
• Cutter -radare2 的 GUI
• Binary Ninja – 一种新型的逆向平台
• angr – 跨平台二进制分析框架

d. 脱壳反混淆

• FLOSS – 自动从恶意软件中提取混淆的字符串
• NoMoreXor – 通过使用频率分析帮助猜测文件 256 字节 XOR 密钥的工具
• XorSearch -用于在 XOR、ROL、ROT 或 SHIFT 编码的二进制文件中搜索给定字符串

e. 取证工具

• dd – 硬盘取证获取工具
• Autopsy - 硬盘取证分析工具
• LiME – 内存获取工具
• Volatility – 内存取证分析框架
• FOG — 免费的开源网络计算机克隆和管理解决方案

f. 综合工具

• Limon Sandbox – 免费开源的自动化 Linux 恶意软件分析沙箱
• Cuckoo Sandbox – 免费开源的自动化恶意软件分析沙箱

2. Windwos平台

a. 静态分析

• HxD – 十六进制查看器和编辑器
• strings – 从文件中提取字符串
• HashMyFiles – 计算文件的 MD5/SHA1/CRC32 哈希值
• DiE – 封隔器标识符
• PEiD – 封隔器标识符
• PeStudio – 高级 PE 查看器等
• CFF Explorer – PE 编辑器
• Resource Hacker – 资源编辑器
• oledump.py – OLE 文件分析器
• OfficeMalScanner – Office 文件恶意软件扫描程序
• PDFiD – PDF 字符串扫描仪和标识符
• PDFStreamDumper – PDF 恶意文件扫描程序
• PDFParser – PDF 文件数据提取器

b. 动态分析

• Process Explorer - 高级任务管理器
• Process Hacker - 高级任务管理器
• Process Monitor – 监控系统进程事件（文件系统、注册表、网络）
• Regshot – 注册表比较程序
• API Monitor – 监视 Windows API 函数（内存转储、断点等）
• PE-Sieve – 扫描恶意植入（替换/注入 PE、shellcode、钩子、内存补丁）
• TCPView – 显示网络连接
• Fiddler – 适用于任何浏览器、系统或平台的免费Web调试代理
• FakeNet-NG – 模拟服务/开放端口以进行恶意软件行为分析
• INetSim – 模拟服务/开放端口以进行恶意软件行为分析
• ApateDNS – 控制 DNS 响应
• MiTMProxy – 一个交互式 SSL/TLS 拦截 HTTP 代理（非常适合 HTTPS 检查）
• NetworkMiner – 嗅探器和 PCAP 解析器
• ProcDot – 一种新的可视化恶意软件分析工具
• WinJa – 一个轻量级但功能强大的工具，用于发现隐藏在您系统中的恶意软件
• CMD Watcher – 监视 CMD、PowerShell 和其他进程，暂停它，提取命令行数据，然后有选择地杀死它

c. 逆向工具

• x64dbg – 用户模式调试器
• OllyDbg – 用户模式调试器
• WinDbg – 内核模式调试器
• WinDBG2IDA — 显示 IDA 中的 WinDBG 步骤
• RetDec – 基于 LLVM 的可重定向机器代码反编译器
• Ghidra – NSA 软件逆向工程框架

d. 脱壳反混淆

• NoMoreXor – 通过使用频率分析帮助猜测文件 256 字节 XOR 密钥的工具
• PackerAttacker – 使用内存和代码挂钩来检测加壳程序的 C++ 应用程序
• UniPacker – 基于仿真的 Windows 二进制文件的自动和平台独立解包器
• unpacker - WinAppDbg脚本来自动执行恶意拆包

e. 加壳工具

• UPX – Windows PE Packer
• Alterante EXE Packer – 基于 UPX打包程序
• Enigma Protector – 用于许可和保护Windows 可执行文件的专业系统
• ExeStealth – Delphi、Visual Basic 和 C++ PE打包程序
• Themida - 高级Windows 软件保护系统
• VMProtect – VMProtect 通过在具有非标准架构的虚拟机上执行代码来保护代码

f. 取证工具

• WinPmem – 内存取证获取工具
• DumpIt – 内存取证获取工具
• FTK Imager – 硬盘和内存取证获取工具
• Rekall – 内存取证框架
• Readline - 内存取证分析工具

g. 综合工具

• Sysinternals Suite – Microsoft 用于分析 Windows 系统内部的工具
• Flare-VM – 基于 Windows 的恶意软件分析安全工具

3. MacOS平台

a. 静态分析

• codesign – 提取代码签名认证状态等
• spctl – 检查文件的认证是否被撤销等等
• xattr – 检查属性文件是否包含以及包含哪些属性（例如 GateKeeper 检查的隔离标志）
• otool – 检查二进制文件、提取汇编指令、查看段、节等
• JTool – otool的升级本工具
• What’s your Sign – 检查代码签名认证状态，显示哈希值等

b. 动态分析

• ProcessMonitor – 监控流程活动
• FileMonitor – 监控文件系统事件
• AppMon – 基于 Frida 的监控和篡改系统 API 调用的自动化框架
• FSMonitor – 监控文件系统事件（读、写等）
• Netiquette – 监控网络连接
• LuLu – 检查网络可疑活动并显示
• TaskExplorer –虚拟探索所有正在运行的进程
• ReiKey – 动态拦截和检测键盘记录活动
• BlockBlock – 动态拦截系统上的持久操作

c. 逆向工具

• LLDB – 类似 GDB 的 macOS 调试器

d. 打包加壳

• iPakk – MacOSX Mach-O (PPC)打包程序
• muncho – MacOSX Mach-O（英特尔）打包程序
• oneKpaq – MacOSX Mach-O (Intel)打包程序

e. 取证工具

• dcfldd – 硬盘取证获取工具
• mac_apt – 硬盘取证分析工具
• OSXPMem – 内存取证获取工具

f. 其他工具

• KnockKnock – 扫描持久性对象并将它们上传到 VirusTotal
• KextViewr – 显示所有已加载的 kext，以及它们的签名状态、完整路径、VirusTotal 检测率等
• Dylib Hijack Scanner – 扫描系统周围潜在的 Dylib-Hijackable 应用程序

0xFF 参考资源

• https://malwareanalysis.co/
• https://github.com/rshipp/awesome-malware-analysis
• https://zeltser.com/malicious-software/