Carding Forum
Professional
- Messages
- 2,788
- Reaction score
- 1,176
- Points
- 113
Инструменты анализа вредоносного ПО
Песочницы и сканеры для автоматического и ручного анализа вредоносных программ:
any.run - интерактивная онлайн-песочница.
anlyz.io - онлайн-песочница.
AVCaesar - онлайн-сканер и репозиторий вредоносных программ Malware.lu.
BoomBox - автоматизированное развертывание лаборатории для анализа вредоносных программ с помощью Cuckoo Sandbox с использованием Packer и Vagrant.
AndroTotal - бесплатный онлайн-анализ APK для совместимости с несколькими мобильными антивирусными приложениями.
Cuckoo Sandbox - автономная песочница с открытым исходным кодом и автоматизированная система анализа.
cuckoo-modified - модифицированная версия Cuckoo Sandbox, выпущенная по лицензии GPL.
cuckoo-modified-api - API Python, используемый для управления модифицированной песочницей Cuckoo.
Cryptam - анализ подозрительных офисных документов.
DeepViz - многоформатный анализатор файлов с классификацией на основе машинного обучения.
detux - песочница, разработанная для анализа трафика вредоносных программ Linux и захвата IOC.
DRAKVUF - динамическая система анализа вредоносных программ.
firmware.re - распаковывает, сканирует и анализирует практически любую версию прошивки.
HaboMalHunter — автоматический инструмент анализа вредоносных программ для файлов ELF Linux.
Hybrid Analysis — онлайн-инструмент для анализа вредоносных программ на основе VxSandbox (с API).
Intezer — обнаружение, анализ и классификация вредоносных программ путем определения повторного использования кода и сходства кода.
IRMA — асинхронная и настраиваемая платформа для анализа подозрительных файлов.
Joe Sandbox — глубокий анализ вредоносных программ с помощью Joe Sandbox.
Jotti — бесплатный многофункциональный онлайн-сканер.
Limon — песочница для анализа вредоносных программ Linux.
Malheur — автоматический изолированный анализ поведения вредоносных программ.
malice.io — масштабируемая структура для анализа вредоносных программ.
malsub — фреймворк Python RESTful API для онлайн-сервисов анализа вредоносных программ и URL-адресов.
Malware config — извлечение, расшифровка и отображение параметров конфигурации распространенных вредоносных программ в Интернете.
MalwareAnalyser.io — статический онлайн-анализатор аномалий вредоносных программ с эвристическим механизмом обнаружения на основе машинного обучения.
Malwr — бесплатный анализ с помощью онлайн-экземпляра Cuckoo Sandbox.
MetaDefender Cloud — бесплатное сканирование файлов, хэшей, IP-адресов, URL-адресов или доменных адресов на наличие вредоносных программ.
NetworkTotal — служба, которая анализирует файлы pcap и помогает быстро обнаруживать вирусы, червей, троянов и все типы вредоносных программ с помощью Suricata, настроенного с EmergingThreats Pro.
Noriben- Использует Sysinternals Procmon для сбора информации о вредоносных программах в изолированной среде.
PacketTotal - Онлайн-движок для анализа файлов .pcap и визуализации сетевого трафика в них.
ProcDot - Набор графических инструментов для анализа вредоносных программ.
Recomposer - Вспомогательный скрипт для безопасной загрузки двоичных файлов на сайты-песочницы.
sandboxapi - Библиотека Python для создания интеграций с несколькими открытыми и коммерческими средами-песочницами.
SEE - Sandboxed Execution Environment (SEE) - платформа для создания автоматизированного тестирования в безопасных средах.
VirusTotal - Бесплатный онлайн-анализ образцов вредоносных программ и URL-адресов.
Visualize_Logs - Библиотека визуализации с открытым исходным кодом и инструменты командной строки для журналов (Cuckoo, Procmon и т. д.).
Zeltser's List - Бесплатные автоматизированные песочницы и сервисы, составленные Ленни Зельцером.
SEKOIA Dropper Analysis - Онлайн-анализ дропперов (Js, VBScript, Microsoft Office, PDF).
InQuest Deep File Inspection — загрузка распространенных вредоносных программ для глубокой проверки файлов и эвристического анализа.
Инструменты для анализа подозрительного содержимого документов на наличие вредоносного кода (Shellcode, VBA, JS и т. д.):
PDF Tools - pdfid, pdf-parser и многое другое от Дидье Стивенса.
PDF X-Ray Lite - Инструмент для анализа PDF-файлов, бесплатная версия PDF X-RAY.
peepdf - Инструмент Python для изучения потенциально вредоносных PDF-файлов (анализ объектов, потоков, декодирование декомпрессии и т. д.).
AnalyzePDF - Инструмент для анализа PDF-файлов и попытки определить, являются ли они вредоносными.
Pdf-parser.py - Похож на утилиту peepdf, для анализа PDF, участвует в WriteUp.
malpdfobj - Сопоставляет вредоносные PDF-файлы с представлением JSON.
Origami PDF - Инструмент для анализа вредоносных PDF-файлов и многое другое.
PDF Examiner - Анализ подозрительных PDF-файлов.
olevba - Скрипт для анализа документов OLE и OpenXML и извлечения полезной информации.
OfficeMalScanner - Сканирует на наличие вредоносных следов в документах MS Office.
box-js - Инструмент для изучения вредоносных программ JavaScript с поддержкой JScript/WScript и эмуляцией ActiveX.
JS Beautifier — Распаковка и деобфускация JavaScript.
Spidermonkey — JavaScript-движок Mozilla для отладки вредоносного JS.
diStorm — Дизассемблер для анализа вредоносного шелл-кода.
libemu — Библиотека и инструменты для эмуляции шелл-кода x86.
Инструменты для анализа вредоносной сетевой активности:
FakeNet-NG — Динамический сетевой анализатор нового поколения.
INetSim — Эмуляция сетевых служб, полезная при настройке лаборатории вредоносного ПО.
ApateDNS — Подделывает ответы DNS для IP-адресов, связанных с определенным пользователем, для отслеживания вредоносных запросов ПО.
Fiddler — Прокси-сервер веб-отладки для «веб-отладки».
Bro — Анализатор протоколов, работающий в невероятных масштабах; для файловых и сетевых протоколов.
BroYara — Использует правила Bro's Yara.
Chopshop — Структурный анализ и декодирование протоколов.
CloudShark — Веб-инструмент для анализа пакетов и обнаружения вредоносного трафика.
Hale — Монитор Botnet C&C.
HTTPReplay — Библиотека для разбора и чтения файлов PCAP, включая сеансы TLS с использованием ключей TLS (используется в Cuckoo Sandbox).
Malcolm — Мощный, легко развертываемый набор инструментов анализа сетевого трафика для получения артефактов (файлов PCAP) и журналов Zeek.
mitmproxy — Позволяет захватывать сетевой трафик «на лету».
NetworkMiner — инструмент для анализа сетевых данных, бесплатная версия (широко используется в DFIR).
ngrep — поиск сетевого трафика, аналог grep в Linux.
Tcpdump — сбор сетевого трафика.
tcpxtract — извлечение файлов из сетевого трафика.
Wireshark — инструмент для анализа сетевого трафика.
Портативный исполняемый файл:
PEBear - Отличный бесплатный инструмент для анализа файлов PE 32/64, получения дескрипторов.
База данных образцов вредоносного ПО:
jstrosch/malware-samples — образцы вредоносных программ на GitHub, включая дампы памяти.
ytisf/theZoo — зоопарк вредоносных программ на GitHub для исследователей и энтузиастов.
MalwareBazaar — основной источник для получения интересных и свежих образцов вредоносных программ.
volatility/wiki/Memory-Samples — для отработки навыков исследования дампов памяти, зараженных вредоносным ПО.
Dump-GUY/Malware-analysis-and-Reverse-engineering — образцы, базы данных IDA Pro для анализа вредоносных программ.
Литература:
"Revelation Will Show" - сравнительно новая книга с практическими упражнениями в конце каждой главы.
"Rootkit Arsenal" - Rootkit Arsenal: уклонение и обход в темных углах системы.
"Rootkits and Bootkits: Modern Reverse Engineering of Malware and Next-Generation Threats".
"Practical Malware Analysis" - Практический анализ вредоносного ПО: изучите концепции, инструменты и методы анализа и расследования вредоносного ПО для Windows.
"IDA Pro Book" - Неофициальное руководство по самому популярному в мире дизассемблеру.
"Mastering Malware Analysis" - Mastering Malware Analysis: Полное руководство для аналитиков вредоносного ПО по борьбе с вредоносным ПО, APT-атаками, кибератаками и IoT.
Песочницы и сканеры для автоматического и ручного анализа вредоносных программ:
any.run - интерактивная онлайн-песочница.
anlyz.io - онлайн-песочница.
AVCaesar - онлайн-сканер и репозиторий вредоносных программ Malware.lu.
BoomBox - автоматизированное развертывание лаборатории для анализа вредоносных программ с помощью Cuckoo Sandbox с использованием Packer и Vagrant.
AndroTotal - бесплатный онлайн-анализ APK для совместимости с несколькими мобильными антивирусными приложениями.
Cuckoo Sandbox - автономная песочница с открытым исходным кодом и автоматизированная система анализа.
cuckoo-modified - модифицированная версия Cuckoo Sandbox, выпущенная по лицензии GPL.
cuckoo-modified-api - API Python, используемый для управления модифицированной песочницей Cuckoo.
Cryptam - анализ подозрительных офисных документов.
DeepViz - многоформатный анализатор файлов с классификацией на основе машинного обучения.
detux - песочница, разработанная для анализа трафика вредоносных программ Linux и захвата IOC.
DRAKVUF - динамическая система анализа вредоносных программ.
firmware.re - распаковывает, сканирует и анализирует практически любую версию прошивки.
HaboMalHunter — автоматический инструмент анализа вредоносных программ для файлов ELF Linux.
Hybrid Analysis — онлайн-инструмент для анализа вредоносных программ на основе VxSandbox (с API).
Intezer — обнаружение, анализ и классификация вредоносных программ путем определения повторного использования кода и сходства кода.
IRMA — асинхронная и настраиваемая платформа для анализа подозрительных файлов.
Joe Sandbox — глубокий анализ вредоносных программ с помощью Joe Sandbox.
Jotti — бесплатный многофункциональный онлайн-сканер.
Limon — песочница для анализа вредоносных программ Linux.
Malheur — автоматический изолированный анализ поведения вредоносных программ.
malice.io — масштабируемая структура для анализа вредоносных программ.
malsub — фреймворк Python RESTful API для онлайн-сервисов анализа вредоносных программ и URL-адресов.
Malware config — извлечение, расшифровка и отображение параметров конфигурации распространенных вредоносных программ в Интернете.
MalwareAnalyser.io — статический онлайн-анализатор аномалий вредоносных программ с эвристическим механизмом обнаружения на основе машинного обучения.
Malwr — бесплатный анализ с помощью онлайн-экземпляра Cuckoo Sandbox.
MetaDefender Cloud — бесплатное сканирование файлов, хэшей, IP-адресов, URL-адресов или доменных адресов на наличие вредоносных программ.
NetworkTotal — служба, которая анализирует файлы pcap и помогает быстро обнаруживать вирусы, червей, троянов и все типы вредоносных программ с помощью Suricata, настроенного с EmergingThreats Pro.
Noriben- Использует Sysinternals Procmon для сбора информации о вредоносных программах в изолированной среде.
PacketTotal - Онлайн-движок для анализа файлов .pcap и визуализации сетевого трафика в них.
ProcDot - Набор графических инструментов для анализа вредоносных программ.
Recomposer - Вспомогательный скрипт для безопасной загрузки двоичных файлов на сайты-песочницы.
sandboxapi - Библиотека Python для создания интеграций с несколькими открытыми и коммерческими средами-песочницами.
SEE - Sandboxed Execution Environment (SEE) - платформа для создания автоматизированного тестирования в безопасных средах.
VirusTotal - Бесплатный онлайн-анализ образцов вредоносных программ и URL-адресов.
Visualize_Logs - Библиотека визуализации с открытым исходным кодом и инструменты командной строки для журналов (Cuckoo, Procmon и т. д.).
Zeltser's List - Бесплатные автоматизированные песочницы и сервисы, составленные Ленни Зельцером.
SEKOIA Dropper Analysis - Онлайн-анализ дропперов (Js, VBScript, Microsoft Office, PDF).
InQuest Deep File Inspection — загрузка распространенных вредоносных программ для глубокой проверки файлов и эвристического анализа.
Инструменты для анализа подозрительного содержимого документов на наличие вредоносного кода (Shellcode, VBA, JS и т. д.):
PDF Tools - pdfid, pdf-parser и многое другое от Дидье Стивенса.
PDF X-Ray Lite - Инструмент для анализа PDF-файлов, бесплатная версия PDF X-RAY.
peepdf - Инструмент Python для изучения потенциально вредоносных PDF-файлов (анализ объектов, потоков, декодирование декомпрессии и т. д.).
AnalyzePDF - Инструмент для анализа PDF-файлов и попытки определить, являются ли они вредоносными.
Pdf-parser.py - Похож на утилиту peepdf, для анализа PDF, участвует в WriteUp.
malpdfobj - Сопоставляет вредоносные PDF-файлы с представлением JSON.
Origami PDF - Инструмент для анализа вредоносных PDF-файлов и многое другое.
PDF Examiner - Анализ подозрительных PDF-файлов.
olevba - Скрипт для анализа документов OLE и OpenXML и извлечения полезной информации.
OfficeMalScanner - Сканирует на наличие вредоносных следов в документах MS Office.
box-js - Инструмент для изучения вредоносных программ JavaScript с поддержкой JScript/WScript и эмуляцией ActiveX.
JS Beautifier — Распаковка и деобфускация JavaScript.
Spidermonkey — JavaScript-движок Mozilla для отладки вредоносного JS.
diStorm — Дизассемблер для анализа вредоносного шелл-кода.
libemu — Библиотека и инструменты для эмуляции шелл-кода x86.
Инструменты для анализа вредоносной сетевой активности:
FakeNet-NG — Динамический сетевой анализатор нового поколения.
INetSim — Эмуляция сетевых служб, полезная при настройке лаборатории вредоносного ПО.
ApateDNS — Подделывает ответы DNS для IP-адресов, связанных с определенным пользователем, для отслеживания вредоносных запросов ПО.
Fiddler — Прокси-сервер веб-отладки для «веб-отладки».
Bro — Анализатор протоколов, работающий в невероятных масштабах; для файловых и сетевых протоколов.
BroYara — Использует правила Bro's Yara.
Chopshop — Структурный анализ и декодирование протоколов.
CloudShark — Веб-инструмент для анализа пакетов и обнаружения вредоносного трафика.
Hale — Монитор Botnet C&C.
HTTPReplay — Библиотека для разбора и чтения файлов PCAP, включая сеансы TLS с использованием ключей TLS (используется в Cuckoo Sandbox).
Malcolm — Мощный, легко развертываемый набор инструментов анализа сетевого трафика для получения артефактов (файлов PCAP) и журналов Zeek.
mitmproxy — Позволяет захватывать сетевой трафик «на лету».
NetworkMiner — инструмент для анализа сетевых данных, бесплатная версия (широко используется в DFIR).
ngrep — поиск сетевого трафика, аналог grep в Linux.
Tcpdump — сбор сетевого трафика.
tcpxtract — извлечение файлов из сетевого трафика.
Wireshark — инструмент для анализа сетевого трафика.
Портативный исполняемый файл:
PEBear - Отличный бесплатный инструмент для анализа файлов PE 32/64, получения дескрипторов.
База данных образцов вредоносного ПО:
jstrosch/malware-samples — образцы вредоносных программ на GitHub, включая дампы памяти.
ytisf/theZoo — зоопарк вредоносных программ на GitHub для исследователей и энтузиастов.
MalwareBazaar — основной источник для получения интересных и свежих образцов вредоносных программ.
volatility/wiki/Memory-Samples — для отработки навыков исследования дампов памяти, зараженных вредоносным ПО.
Dump-GUY/Malware-analysis-and-Reverse-engineering — образцы, базы данных IDA Pro для анализа вредоносных программ.
Литература:
"Revelation Will Show" - сравнительно новая книга с практическими упражнениями в конце каждой главы.
"Rootkit Arsenal" - Rootkit Arsenal: уклонение и обход в темных углах системы.
"Rootkits and Bootkits: Modern Reverse Engineering of Malware and Next-Generation Threats".
"Practical Malware Analysis" - Практический анализ вредоносного ПО: изучите концепции, инструменты и методы анализа и расследования вредоносного ПО для Windows.
"IDA Pro Book" - Неофициальное руководство по самому популярному в мире дизассемблеру.
"Mastering Malware Analysis" - Mastering Malware Analysis: Полное руководство для аналитиков вредоносного ПО по борьбе с вредоносным ПО, APT-атаками, кибератаками и IoT.
