Песочницы и сканеры для автоматизированного и ручного анализа вредоносного ПО:
jstrosch/malware-samples — сэмплы вредоносного ПО на ГИТе, в том числе в дампе оперативной памяти.
ytisf/theZoo — зоопарк вредоносного ПО на ГИТе, для исследователей и желающих попрактиковаться.
MalwareBazaar — одно из основных мест, где можно получить интересные и свежие образцы ВПО.
volatility/wiki/Memory-Samples — для желающих попрактиковать свои скилы в исследовании дампов оперативной памяти, зараженных ВПО.
Dump-GUY/Malware-analysis-and-Reverse-engineering — сэмплы, базы IDA Pro для анализа ВПО.
Литература:
- any.run — интерактивная онлайн-песочница.
- anlyz.io — онлайн-песочница.
- AVCaesar — онлайн-сканер Malware.lu и репозиторий вредоносных программ.
- BoomBox — автоматическое развертывание лаборатории для исследования вредоносных программ Cuckoo Sandbox с помощью Packer и Vagrant.
- AndroTotal — бесплатный онлайн-анализ APK на соответствие множеству мобильных антивирусных приложений.
- Cuckoo Sandbox — автономная песочница с открытым исходным кодом и автоматизированная система анализа.
- cuckoo-modified — модифицированная версия Cuckoo Sandbox, выпущенная под лицензией GPL.
- cuckoo-modified-api — API Python, используемый для управления песочницей, модифицированной cuckoo.
- Cryptam — Анализ подозрительных офисных документов.
- DeepViz — многоформатный анализатор файлов с классификацией на основе машинного обучения.
- detux — песочница, разработанная для анализа трафика вредоносных программ Linux и захвата IOC.
- DRAKVUF— Система динамического анализа вредоносных программ.
- firmware.re — Распаковывает, сканирует и анализирует практически любую версию прошивки.
- HaboMalHunter — инструмент автоматического анализа вредоносных программ для файлов ELF Linux.
- Hybrid Analysis — онлайн-инструмент для анализа вредоносного ПО на базе VxSandbox (имеет API).
- Intezer — Обнаружение, анализ и классификация вредоносных программ путем определения повторного использования кода и сходства кода.
- IRMA — асинхронная и настраиваемая платформа для анализа подозрительных файлов.
- Joe Sandbox — глубокий анализ вредоносных программ с помощью Joe Sandbox.
- Jotti — бесплатный мульти-AV-сканер онлайн.
- Limon — песочница для анализа вредоносного ПО для Linux.
- Malheur — Автоматический изолированный анализ поведения вредоносных программ.
- malice.io — Масштабируемый фреймворк для анализа вредоносных программ.
- malsub — API-фреймворк Python RESTful для онлайн-сервисов анализа вредоносных программ и URL-адресов.
- Malware config — Извлекайте , расшифровывайте и отображайте в Интернете параметры конфигурации распространенных вредоносных программ.
- MalwareAnalyser.io — статический онлайн-анализатор аномалий вредоносного ПО с механизмом эвристического обнаружения, основанным на интеллектуальном анализе данных и машинном обучении.
- Malwr — бесплатный анализ с онлайн-экземпляром Cuckoo Sandbox.
- MetaDefender Cloud — бесплатно сканируйте файл, хэш, IP-адрес, URL-адрес или доменный адрес на наличие вредоносных программ.
- NetworkTotal — сервис, который анализирует pcap-файлы и способствует быстрому обнаружению вирусов, червей, троянов и всех видов вредоносных программ с помощью Suricata, настроенной с EmergingThreats Pro.
- Noriben — использует Sysinternals Procmon для сбора информации о вредоносных программах в изолированной среде.
- PacketTotal — PacketTotal — это онлайн-движок для анализа файлов .pcap и визуализации сетевого трафика внутри них.
- ProcDot — набор графических инструментов для анализа вредоносных программ.
- Recomposer — вспомогательный скрипт для безопасной загрузки двоичных файлов на сайты-песочницы.
- sandboxapi — библиотека Python для создания интеграций с несколькими изолированными программными средами с открытым исходным кодом и коммерческими вредоносными программами.
- SEE — Sandboxed Execution Environment (SEE) — это платформа для построения автоматизации тестирования в защищенных средах.
- VirusTotal — бесплатный онлайн-анализ образцов вредоносных программ и URL-адресов
- Visualize_Logs — библиотека визуализации с открытым исходным кодом и инструменты командной строки для журналов. (Cuckoo, Procmon, и.т.д)
- Список Зельцера — бесплатные автоматизированные песочницы и сервисы, составленные Ленни Зельцером.
- SEKOIA Dropper Analysis — анализ дроппера онлайн (Js, VBScript, Microsoft Office, PDF).
- InQuest Deep File Inspection — загружайте распространенные вредоносные программы для глубокой проверки файлов и эвристического анализа.
- PDF Tools — pdfid, pdf-parser и многое другое от Didier Stevens.
- PDF X-Ray Lite — инструмент для анализа PDF, бесплатная версия PDF X-RAY.
- peepdf — инструмент на Python для изучения потенциально вредоносных PDF-файлов (парсинг объектов, потоков, декодирование декомпрессирование и.т.д).
- AnalyzePDF — инструмент для анализа PDF-файлов и попытки определить, являются ли они вредоносными.
- Pdf-parser.py — аналогичная peepdf утилита, для анализа pdf, задействована во WriteUp’е;
- malpdfobj — отобразить вредоносные PDF-файлы в представление JSON.
- Origami PDF — инструмент для анализа вредоносных PDF-файлов и многого другого.
- PDF Examiner — Анализ подозрительных файлов PDF.
- olevba — скрипт для разбора документов OLE и OpenXML и извлечения полезной информации.
- OfficeMalScanner — Сканирует вредоносные следы в документах MS Office.
- box-js — инструмент для изучения вредоносных программ JavaScript с поддержкой JScript/WScript и эмуляцией ActiveX.
- JS Beautifier — распаковка и деобфускация JavaScript.
- Spidermonkey — движок JavaScript от Mozilla для отладки вредоносного JS.
- box-js — инструмент для изучения вредоносных программ JavaScript с поддержкой JScript/WScript и эмуляцией ActiveX.
- diStorm — дизассемблер для анализа вредоносного шеллкода.
- libemu — библиотека и инструменты для эмуляции шеллкода x86.
- FakeNet-NG — инструмент динамического сетевого анализа следующего поколения (хорошее описание в книге «Вскрытие покажет»).
- INetSim — эмуляция сетевых служб, полезная при создании лаборатории вредоносных программ (хорошее описание в книге «Вскрытие покажет»).
- ApateDNS — подделывает DNS-ответы для IP-адресов, которые относятся к определенному пользователю. Позволяет отслеживать запросы вредоносного ПО(хорошее описание в книге «Вскрытие покажет»).
- Fiddler — перехватывающий веб-прокси, предназначенный для «веб-отладки».
- Bro — анализатор протоколов, работающий в невероятных масштабах; как файловые, так и сетевые протоколы.
- BroYara — Используйте правила Yara от Bro.
- Chopshop — анализ структуры и декодирование протоколов.
- CloudShark — веб-инструмент для анализа пакетов и обнаружения вредоносного трафика.
- Hale — монитор C&C ботнета.
- HTTPReplay — библиотека для разбора и чтения файлов PCAP, включая сессии TLS с использованием ключей TLS (используется в песочнице Cuckoo).
- Malcolm — мощный, легко развертываемый набор инструментов для анализа сетевого трафика с целью получения артефактов (файлы PCAP) и журналов Zeek.
- mitmproxy — позволяет перехватывать сетевой трафик «на лету».
- NetworkMiner — инструмент для судебного анализа сети с бесплатной версией (широко используется в DFIR).
- ngrep — поиск по сетевому трафику, аналог grep в linux.
- Tcpdump — сбор сетевого трафика.
- tcpxtract — Извлечение файлов из сетевого трафика.
- Wireshark — инструмент для анализа сетевого трафика.
- PEBear — Превосходный, бесплатный инструмент для анализа PE 32/64 файлов, получения handles.
jstrosch/malware-samples — сэмплы вредоносного ПО на ГИТе, в том числе в дампе оперативной памяти.
ytisf/theZoo — зоопарк вредоносного ПО на ГИТе, для исследователей и желающих попрактиковаться.
MalwareBazaar — одно из основных мест, где можно получить интересные и свежие образцы ВПО.
volatility/wiki/Memory-Samples — для желающих попрактиковать свои скилы в исследовании дампов оперативной памяти, зараженных ВПО.
Dump-GUY/Malware-analysis-and-Reverse-engineering — сэмплы, базы IDA Pro для анализа ВПО.
Литература:
- «Вскрытие покажет» Сикорски — довольно свежая литература с практическими занятиями в конце каждой главы (есть русскоязычная версия).
- Арсенал руткитов — Арсенал руткитов: побег и уклонение в темных уголках системы.
- «Руткиты и буткиты современный реверс вредоносного ПО и угрозы следующего поколения».
- Изучение анализа вредоносных программ — Изучение анализа вредоносных программ: изучите концепции, инструменты и методы анализа и исследования вредоносных программ для Windows.
- Книга IDA Pro — неофициальное руководство по самому популярному в мире дизассемблеру.
- Mastering Malware Analysis — Mastering Malware Analysis: полное руководство аналитика вредоносных программ по борьбе с вредоносным программным обеспечением, APT-атаками, атаками в киберпространстве и IoT.
