diff --git a/恶意软件分析大合集.md b/恶意软件分析大合集.md index 57ea539..775bbbf 100644 --- a/恶意软件分析大合集.md +++ b/恶意软件分析大合集.md @@ -65,6 +65,8 @@ * [Contagio](http://contagiodump.blogspot.com/) - 近期的恶意软件样本和分析的收集 * [Exploit Database](https://www.exploit-db.com/) - Exploit 和 shellcode 样本 * [Infosec - CERT-PA](https://infosec.cert-pa.it/analyze/submission.html) - 恶意软件样本收集与分析 +* [InQuest Labs](https://labs.inquest.net) - 恶意 Microsoft 文档语料库 +* [Javascript Mallware Collection](https://github.com/HynekPetrak/javascript-malware-collection) - 收集了将近四万个 JavaScript 恶意样本 * [Malpedia](https://malpedia.caad.fkie.fraunhofer.de/) - 为调查恶意软件提供快速可识别、可操作的上下文资源 * [Malshare](https://malshare.com) - 在恶意网站上得到的大量恶意样本库 * [Open Malware Project](http://openmalware.org/) - 样本信息和下载 @@ -101,6 +103,7 @@ * [PyIOCe](https://github.com/pidydx/PyIOCe) - 一个 Python OpenIOC 编辑器 * [RiskIQ](https://community.riskiq.com/) - 研究、链接、标注和分享 IP 与 域名 * [threataggregator](https://github.com/jpsenior/threataggregator) - 聚合来自多个信息源的安全威胁,包括 [other resources](#other-resources) 列表中的一些 +* [ThreatConnect](https://threatconnect.com/free/) - TC Open 用于查看、共享开源数据,将会得到社区的支持与验证 * [ThreatCrowd](https://www.threatcrowd.org/) - 带有图形可视化的威胁搜索引擎 * [ThreatTracker](https://github.com/michael-yip/ThreatTracker) - 一个 Python 脚本,用于根据 Google 自定义搜索引擎检索的 IOC 监视、生成警报 * [TIQ-test](https://github.com/mlsecproject/tiq-test) - 威胁情报源的数据可视化和统计分析 @@ -120,6 +123,8 @@ * [HoneyDB](https://riskdiscovery.com/honeydb) - 社区驱动的蜜罐传感器数据收集与聚合 * [hpfeeds](https://github.com/rep/hpfeeds) - 蜜罐订阅协议 * [CERT-PA 列表](https://infosec.cert-pa.it/analyze/statistics.html) ([IP](https://infosec.cert-pa.it/analyze/listip.txt) - [域名](https://infosec.cert-pa.it/analyze/listdomains.txt) - [URL](https://infosec.cert-pa.it/analyze/listurls.txt)) - 黑名单服务 +* [InQuest REPdb](https://labs.inquest.net/repdb) - 聚合来自各种开源信誉来源的 IOC 指标 +* [InQuest IOCdb](https://labs.inquest.net/iocdb) - 聚合来自博客、Github 仓库与 Twitter 的 IOC 指标 * [Internet Storm Center (DShield)](https://isc.sans.edu/) - 日志和可搜索的事件数据库,并且带有 Web [API](https://dshield.org/api/)([非官方 Python 库](https://github.com/rshipp/python-dshield)). * [malc0de](http://malc0de.com/database/) - 搜索事件数据库 * [Malware Domain List](http://www.malwaredomainlist.com/) - 搜索和分享恶意软件 URL @@ -149,7 +154,7 @@ * [BinaryAlert](https://github.com/airbnb/binaryalert) - 开源、无服务 AWS 管道,用于对上传的文件使用 YARA 进行扫描和报警 * [chkrootkit](http://www.chkrootkit.org/) - 本地 Linux rootkit 检测 * [ClamAV](http://www.clamav.net/) - 开源反病毒引擎 -* [Detect-It-Easy](https://github.com/horsicq/Detect-It-Easy) - 用于确定文件类型的程序 +* [Detect It Easy(DiE)](https://github.com/horsicq/Detect-It-Easy) - 用于确定文件类型的程序 * [Exeinfo PE](http://exeinfo.pe.hu/) - 加壳、压缩检测工具,带有脱壳信息 * [ExifTool](https://sno.phy.queensu.ca/~phil/exiftool/) - 读、写、编辑文件的元数据 * [File Scanning Framework](http://www.sno.phy.queensu.ca/%7Ephil/exiftool/) - 模块化的递归文件扫描解决方案 @@ -161,10 +166,13 @@ * [Manalyze](https://github.com/JusticeRage/Manalyze) - PE 文件的静态分析工具 * [MASTIFF](https://github.com/KoreLogicSecurity/mastiff) - 静态分析框架 * [MultiScanner](https://github.com/MITRECND/multiscanner) - 模块化文件扫描/分析框架 +* [Nauz File Detector(NFD)](https://github.com/horsicq/Nauz-File-Detector) - 跨平台(Windows、Linux、MacOS)的链接器/编译器检测 * [nsrllookup](https://github.com/rjhansen/nsrllookup) - 查询 NIST's National Software Reference Library 数据库中哈希的工具 * [packerid](http://handlers.sans.org/jclausing/packerid.py) - 跨平台的 PEiD 的替代品 * [PE-bear](https://hshrzd.wordpress.com/pe-bear/) - PE 文件的逆向工具 * [PEV](http://pev.sourceforge.net/) - 为正确分析可疑的二进制文件提供功能丰富工具的 PE 文件多平台分析工具集 +* [PortEx](https://github.com/katjahahn/PortEx) - 聚焦于与 PE 文件相关恶意软件分析的 Java 库 +* [Quark-Engine](https://github.com/quark-engine/quark-engine) - 能够对抗混淆的 Android 恶意软件评估系统 * [Rootkit Hunter](http://rkhunter.sourceforge.net/) - 检测 Linux 的 rootkits * [ssdeep](https://ssdeep-project.github.io/ssdeep/) - 计算模糊哈希值 * [totalhash.py](https://gist.github.com/malc0de/10270150) - 一个简单搜索[TotalHash.com](http://totalhash.com/) 数据库的 Python 脚本 @@ -182,6 +190,7 @@ * [any.run](https://app.any.run/) - 在线交互式沙盒 * [AndroTotal](https://andrototal.org/) - 利用多个移动反病毒软件进行免费在线分析 App * [AVCaesar](https://avcaesar.malware.lu/) - Malware.lu 在线扫描器和恶意软件集合 +* [BoomBox](https://github.com/nbeede/BoomBox) - 使用 Packer 与 Vagrant 自动部署的 Cuckoo 沙盒 * [Cryptam](http://www.cryptam.com/) - 分析可疑的 Office 文档 * [Cuckoo Sandbox](http://cuckoosandbox.org/) - 开源、自主的沙盒和自动分析系统 * [cuckoo-modified](https://github.com/brad-accuvant/cuckoo-modified) - GPL 许可证的 Cuckoo 沙盒的修改版,由于法律原因作者没有将其分支合并 @@ -222,6 +231,7 @@ *检查域名和 IP 地址* +* [AbuseIPDB](https://www.abuseipdb.com/) - AbuseIPDB 是一个旨在帮助防御攻击蔓延、垃圾邮件传播与互联网滥用活动的项目 * [badips.com](https://www.badips.com/) - 基于 IP 黑名单服务的社区 * [boomerang](https://github.com/EmersonElectricCo/boomerang) - 旨在安全地捕获网络资源而设计的工具 * [Cymon](https://cymon.io/) - 威胁情报跟踪、具有 IP、域名、哈希值搜索功能 @@ -241,6 +251,7 @@ * [Sucuri SiteCheck](https://sitecheck.sucuri.net/) - 免费的网站恶意软件与安全扫描器 * [Talos Intelligence](https://talosintelligence.com/) - 搜索 IP、域名或网络的所有者 * [TekDefense Automator](http://www.tekdefense.com/automater/) - 收集关于 URL、IP 和哈希值的 OSINT 工具 +* [URLhaus](https://urlhaus.abuse.ch/) - 由abuse.ch所支撑的项目,旨在提供用于分发恶意软件的URL列表 * [URLQuery](http://urlquery.net/) - 免费的 URL 扫描器 * [urlscan.io](https://urlscan.io/) - 免费 URL 扫描器与域名信息 * [Whois](http://whois.domaintools.com/) - DomainTools 家免费的 whois 搜索 @@ -366,6 +377,7 @@ * [ROPMEMU](https://github.com/vrtadmin/ROPMEMU) - 分析、解析、反编译复杂的代码重用攻击的框架 * [SMRT](https://github.com/pidydx/SMRT) - Sublime 3 中辅助恶意软件分析的插件 * [strace](http://sourceforge.net/projects/strace/) - Linux 可执行文件的动态分析 +* [StringSifter](https://github.com/fireeye/stringsifter) - 基于恶意相关性进行自动字符串排序的机器学习工具 * [Triton](http://triton.quarkslab.com/) - 一个动态二进制分析框架 * [Udis86](https://github.com/vmt/udis86) - x86 和 x86_64 的反汇编库和工具 * [Vivisect](https://github.com/vivisect/vivisect) - 恶意软件分析的 Python 工具 @@ -380,8 +392,8 @@ * [BroYara](https://github.com/hempnall/broyara) - 基于 Bro 的 Yara 规则集 * [CapTipper](https://github.com/omriher/CapTipper) - 恶意 HTTP 流量管理器 * [chopshop](https://github.com/MITRECND/chopshop) - 协议分析和解码框架 -* [CloudShark](https://www.cloudshark.org) - 基于 Web 的数据包分析工具 - and malware traffic detection. +* [CloudShark](https://www.cloudshark.org) - 基于 Web 的数据包分析与恶意流量检测工具 +* [FakeNet-NG](https://github.com/fireeye/flare-fakenet-ng) - 下一代动态网络分析工具 * [Fiddler](http://www.telerik.com/fiddler) - 专为 Web 调试开发的 Web 代理 * [Hale](https://github.com/pjlantz/Hale) - 僵尸网络 C&C 监视器 * [Haka](http://www.haka-security.org/) - 一个安全导向的开源语言,用于在实时流量捕获时描述协议、应用安全策略 @@ -456,7 +468,10 @@ *基础恶意软件分析阅读书单* +* [Learning Malware Analysis](https://www.packtpub.com/networking-and-servers/learning-malware-analysis) - Learning Malware Analysis: 探索 Windows 恶意软件分析领域的概念、工具与技术 * [Malware Analyst's Cookbook and DVD](https://amzn.com/dp/0470613033) - 打击恶意代码的工具和技术 +* [Mastering Malware Analysis](https://www.packtpub.com/networking-and-servers/mastering-malware-analysis) - Mastering Malware Analysis: 对抗恶意软件、APT、网络犯罪与 IoT 攻击的完整指南 +* [Mastering Reverse Engineering](https://www.packtpub.com/networking-and-servers/mastering-reverse-engineering) - Mastering Reverse Engineering: 逆向工程技巧 * [Practical Malware Analysis](https://amzn.com/dp/1593272901) - 剖析恶意软件的手边书 * [Practical Reverse Engineering](https://www.amzn.com/dp/1118787315/) - Intermediate Reverse Engineering.