你们都能用的安全工具和资源

大家好，我是一坨咸鱼

咸鱼觉得这次的排版比上次的好看多啦！

充满简约（贫穷）气质

咸鱼想知道你们需要什么样的资料

然后努力收集反馈给大家

希望你们在留言区多多反馈（点赞）啦

前言

HXD https://mh-nexus.de/en/hxd/

010 Editor http://www.sweetscape.com/010editor/

Hex Workshop http://www.hexworkshop.com/

HexFiend http://ridiculousfish.com/hexfiend/

Hiew http://www.hiew.ru/

反汇编

反汇编程序与反编译器不同，反编译器的目标是高级语言而不是汇编语言。反汇编（反汇编程序的输出）通常被格式化为可读性较强的汇编语言，使其成为逆向工程工具

IDA Pro

https://www.hex-rays.com/products/ida/index.shtml

Binary Ninja https://binary.ninja/

Radare http://www.radare.org/r/

Hopper http://hopperapp.com/

Capstone http://www.capstone-engine.org/

objdump http://linux.die.net/man/1/objdump

fREedom https://github.com/cseagle/fREedom

plasma

https://github.com/plasma-disassembler/plasma

检测和分类

AnalyzePE– 用于 告Windows PE文件的各种工具

https://github.com/hiddenillusion/AnalyzePE

Assemblyline– 可扩展的分布式文件分析框架

https://bitbucket.org/cse-assemblyline/assemblyline

BinaryAlert– 一种开源的无服务器AWS管道，可根据一组YARA规则扫描和警告上载的文件

https://github.com/airbnb/binaryalert

chkrootkit– 本地Linux rootkit检测

http://www.chkrootkit.org/

ClamAV – 开源防病毒引擎

http://www.clamav.net/

Detect-It-Easy– 用于确定文件类型的程序

https://github.com/horsicq/Detect-It-Easy

https://sno.phy.queensu.ca/~phil/exiftool/

File Scanning Framework – 模块化递归文件扫描解决方案

https://github.com/EmersonElectricCo/fsf

hashdeep– 使用各种算法计算摘要哈希值

https://github.com/jessek/hashdeep

Loki – 基于主机的IOC扫描仪

https://github.com/Neo23x0/Loki

Malfunction– 在功能级别编目和比较恶意软件

https://github.com/Dynetics/Malfunction

MASTIFF– 静态分析框架

https://github.com/KoreLogicSecurity/mastiff

MultiScanner– 模块化文件扫描/分析框架

https://github.com/mitre/multiscanner

nsrllookup– 在NIST的国家软件参考库数据库中查找哈希的工具

https://github.com/rjhansen/nsrllookup

packerid– PEiD的跨平台Python替代方案

http://handlers.sans.org/jclausing/packerid.py

PEV– 用于处理PE文件的多平台工具包，提供功能丰富的工具，用于正确分析可疑二进制文件

http://pev.sourceforge.net/

Rootkit Hunter– 检测Linux rootkit

http://rkhunter.sourceforge.net/

ssdeep – 计算模糊哈希值

https://ssdeep-project.github.io/ssdeep/

totalhash.py–

用于搜索 TotalHash.cymru.com 数据库的Python脚本

https://gist.github.com/gleblanc1783/3c8e6b379fa9d646d401b96ab5c7877f

TrID– 文件标识符

http://mark0.net/soft-trid-e.html

YARA– 分析师的模式匹配工具

https://plusvic.github.io/yara/

Yara rules generator– 根据一组恶意软件样本生成yara规则https://github.com/Neo23x0/yarGen

动态二进制仪表

动态二进制仪表工具

Pin

https://software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool

DynamoRio http://www.dynamorio.org/

Frida https://www.frida.re/

dyninst http://www.dyninst.org/

Mac Decrypt

Mac Decrypting工具

Cerbero Profiler– 全选 – >复制到新文件

http://cerbero-blog.com/?p=1311

AppEncryptor– 用于解密的工具

https://github.com/AlanQuatermain/appencryptor

Class-Dump– deprotect选项

http://stevenygard.com/projects/class-dump/

readmem– OS X Reverser的进程转储工具

https://github.com/gdbinit/readmem

模拟器

模拟器工具

QEMU http://www.qemu-project.org/

unicorn

https://github.com/unicorn-engine/unicorn

文件分析

文档分析工具

Ole Tools

http://www.decalage.info/python/oletools

Didier’s PDF Tools

http://blog.didierstevens.com/programs/pdf-tools/

Origami https://github.com/cogent/origami-pdf

动态分析

这个入门级的恶意软件动态分析课程是专门针对那些刚开始从事恶意软件分析，或是想要学习如何通过各种工具检测恶意软件遗留的人员

这是一门实践课程，学员们可以使用各种工具来查找恶意软件的类型

ProcessHacker http://processhacker.sourceforge.net/

Process Explorer

https://technet.microsoft.com/en-us/sysinternals/processexplorer

Process Monitor

https://technet.microsoft.com/en-us/sysinternals/processmonitor

Autoruns

https://technet.microsoft.com/en-us/sysinternals/bb963902

Noriben https://github.com/Rurik/Noriben

API监视器 http://www.rohitab.com/apimonitor

iNetSim http://www.inetsim.org/

Wireshark https://www.wireshark.org/download.html

Fakenet

http://practicalmalwareanalysis.com/fakenet/

Volatility

https://github.com/volatilityfoundation/volatility

Dumpit http://www.moonsols.com/products/

LiME https://github.com/504ensicsLabs/LiME

Cuckoo https://www.cuckoosandbox.org/

Objective-See Utilities

https://objective-see.com/products.html

XCode Instruments– 用于监控文件和进程的XCode工具

https://developer.apple.com/xcode/download/

fs_usage– 实时 告与文件系统活动相关的系统调用和页面错误，文件I / O：fs_usage -w -f文件系统

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/fs_usage.1.html

dmesg– 显示系统消息缓冲区

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/dmesg.8.html

Triton https://triton.quarkslab.com/

反混淆

反向XOR和其他代码混淆方法

Balbuzard– 用于反转混淆（XOR，ROL等）的恶意软件分析工具等

https://bitbucket.org/decalage/balbuzard/wiki/Home

de4dot– .NET反混淆器和解包器

https://github.com/0xd4d/de4dot

ex_pe_xor ＆iheartxor– Alexander Hanel的两个工具，用于处理单字节XOR编码文件

http://hooked-on-mnemonics.blogspot.com/p/iheartxor.html

FLOSS– FireEye Labs混淆字符串解算器，自动使用高级静态分析技术对来自恶意软件二进制文件的字符串进行反混淆处理

https://github.com/fireeye/flare-floss

NoMoreXOR– 使用频率分析256字节的XOR密钥

https://github.com/hiddenillusion/NoMoreXOR

PackerAttacker – Windows恶意软件的通用隐藏代码提取程序

https://github.com/BromiumLabs/PackerAttacke

unpacker– 基于WinAppDbg的Windows恶意软件的自动恶意软件解包器

https://github.com/malwaremusings/unpacker/

unxor– 使用已知明文攻击猜测XOR密钥

https://github.com/tomchop/unxor/

VirtualDeobfuscator– 虚拟化包装器的逆向工程工具

https://github.com/jnraber/VirtualDeobfuscator

XORBruteForcer– 用于强制执行单字节XOR键的Python脚本

http://eternal-todo.com/var/s/xorbruteforcer

XORSearch & XORStrings– 来自Didier Stevens的几个程序，用于查找 XORed数据

https://blog.didierstevens.com/programs/xorsearch/

xortool– 猜测XOR密钥长度，以及密钥本身

https://github.com/hellman/xortool

调试

在此列表中，我们可以看到反汇编程序，调试程序以及其他静态和动态分析工具的工具

跨平台调试工具

gdb https://www.gnu.org/software/gdb/

vdb https://github.com/vivisect/vivisect

lldb http://lldb.llvm.org/

qira http://qira.me/

仅限Windows的调试工具

WinDbg

https://msdn.microsoft.com/en-us/windows/hardware/hh852365.aspx

ImmunityDebugger

https://www.immunityinc.com/products/debugger/

OllyDbg v1.10 http://www.ollydbg.de/

OllyDbg v2.01

http://www.ollydbg.de/version2.html

OllySnD

https://tuts4you.com/download.php?view.2061

Olly Shadow

https://tuts4you.com/download.php?view.6

Olly CiMs

https://tuts4you.com/download.php?view.1206

Olly UST_2bg

https://tuts4you.com/download.php?view.1206

x64dbg http://x64dbg.com/#start

仅限Linux的调试工具

DDD http://www.gnu.org/software/ddd/

逆向工程

angr– 在UCSB的Seclab开发的二进制分析框架

https://github.com/angr/angr

bamfdetect– 识别和提取机器人和其他恶意软件的信息

https://github.com/bwall/bamfdetect

BAP– 在Cylab开发的多平台和开源（MIT）二进制分析框架

https://github.com/BinaryAnalysisPlatform/bap

BARF– 开源二进制分析和逆向工程框架

https://github.com/programa-stic/barf-project

binnavi– 基于图形可视化的逆向工程二进制分析IDE

https://github.com/google/binnavi

Binary ninja– 一种可逆转工程平台，可替代IDA

https://binary.ninja/

Binwalk– 固件分析工具

https://github.com/devttys0/binwalk

Bokken– Pyew和Radare的GUI

http://www.bokken.re/

Capstone– 用于二进制分析和反转的反汇编框架

https://github.com/aquynh/capstone

codebro – 基于Web的代码浏览器，提供基本代码分析

https://github.com/hugsy/codebro

DECAF（Dynamic Executable Code Analysis Framework）- 基于QEMU的二进制分析平台，DroidScope现在是DECAF的扩展

https://github.com/sycurelab/DECAF

https://github.com/0xd4d/dnSpy

Evan’s DeBUGGER(EDB)– 带有Qt GUI的模块化调试器

http://codef00.com/projects#debugger

Fibratus– 用于探索和跟踪Windows内核的工具

https://github.com/rabbitstack/fibratus

FPort – 在实时系统中打开TCP / IP和UDP端口并将它们映射到所属的应用程序

https://www.mcafee.com/us/downloads/free-tools/fport.aspx

GDB– GNU调试器

http://www.sourceware.org/gdb/

GEF– GDB增强功能，适用于开发人员和逆向工程师

https://github.com/hugsy/gef

hackers-grep– 在PE可执行文件中搜索字符串的实用程序，包括导入，导出和调试符

https://github.com/codypierce/hackers-grep

Hopper– macOS和Linux反汇编程序

https://www.hopperapp.com/

IDA Pro– Windows反汇编程序和调试程序，具有免费评估版

https://www.hex-rays.com/products/ida/index.shtml

Immunity Debugger– 用于恶意软件分析的调试器，使用Python API

http://debugger.immunityinc.com/

ILSpy – ILSpy是开源.NET程序集浏览器和反编译器

http://ilspy.net/

Kaitai Struct– 用于文件格式/ 络协议/数据结构的DSL逆向工程和剖析，包括C ++，C＃，Java，Java，Perl，PHP，Python，Ruby的代码生成

http://kaitai.io/

LIEF– LIEF提供了一个跨平台的库来解析，修改和抽象ELF，PE和MachO格式

https://lief.quarkslab.com/

ltrace– Linux可执行文件的动态分析

http://ltrace.org/

objdump– GNU binutils的一部分，用于Linux二进制文件的静态分析

https://en.wikipedia.org/wiki/Objdump

OllyDbg– Windows可执行文件的汇编级调试器

http://www.ollydbg.de/

PANDA– 中性动态分析

https://github.com/moyix/panda

PEDA– 针对GDB的Python漏洞利用开发协助，增强显示和添加命令

https://github.com/longld/peda

pestudio– 执行Windows可执行文件的静态分析

https://winitor.com/

Pharos– Pharos二进制分析框架，可用于执行二进制文件的自动静态分析

https://github.com/cmu-sei/pharos

plasma– 用于x86 / ARM / MIPS的交互式反汇编程序

https://github.com/plasma-disassembler/plasma

PPEE（puppy）– 专业PE文件浏览器

https://www.mzrst.com/

Process Explorer– Windows的高级任务管理器

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Process Hacker– 监视系统资源的工具

http://processhacker.sourceforge.net/

Process Monitor– 用于Windows程序的高级监视工具

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

PSTools– 帮助管理和调查实时系统的Windows命令行工具

https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

Pyew– 用于恶意软件分析的Python工具

https://github.com/joxeankoret/pyew

PyREBox– 思科Talos团队的Python脚本化逆向工程沙箱

https://github.com/Cisco-Talos/pyrebox

QKD– QEMU带有嵌入式WinDbg服务器，用于隐身调试

https://github.com/ispras/qemu/releases/

Radare2– 反向工程框架，支持调试器

http://www.radare.org/r/

RegShot– 比较快照的注册表比较实用程序

https://sourceforge.net/projects/regshot/

RetDec–

具有在线反编译服务和API的Retargetable机器代码反编译器

https://retdec.com/

ROPMEMU– 分析，剖析和反编译复杂代码重用攻击的框架

https://github.com/Cisco-Talos/ROPMEMU

SMRT– Sublime恶意软件研究工具，Sublime 3的插件，用于帮助恶意软件分析

https://github.com/pidydx/SMRT

strace– Linux可执行文件的动态分析

https://sourceforge.net/projects/strace/

Triton– 动态二进制分析（DBA）框架

https://triton.quarkslab.com/

Udis86– 用于x86和x86_64的反汇编程序库和工具

https://github.com/vmt/udis86

Vivisect– 用于恶意软件分析的Python工具

https://github.com/vivisect/vivisect

WinDbg– 用于Microsoft Windows计算机操作系统的多用途调试器，用于调试用户模式应用程序，设备驱动程序和内核模式内存转储

https://developer.microsoft.com/en-us/windows/hardware/download-windbg

X64dbg– 用于Windows的开源x64 / x32调试器

https://github.com/x64dbg/

二进制格式和二进制分析

复合文件二进制格式是几种不同的Microsoft文件格式（如Microsoft Office文档和Microsoft Installer程序包）使用的基本容器

CFF资源管理器

http://www.ntcore.com/exsuite.php

Cerbero Profiler // Lite PE Insider

http://cerbero.io/profiler/

http://cerbero.io/peinsider/

Detect It EASY http://ntinfo.biz/

PeStudio http://www.winitor.com/

PEID

https://tuts4you.com/download.php?view.398

MachoView https://github.com/gdbinit/MachOView

nm– 查看符

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/nm.1.html

file-文件信息

https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/file.1.html

codesign– 代码签名信息用法：codesign -dvvv文件名https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/codesign.1.html

二进制分析资源

Mobius Resources

http://www.msreverseengineering.com/research/

z3 https://z3.codeplex.com/

bap https://github.com/BinaryAnalysisPlatform/bap

angr https://github.com/angr/angr

反编译器

反编译器是一种计算机程序，它输入可执行文件，并尝试创建可以成功重新编译的高级源文件。因此它与编译器相反，后者采用源文件并生成可执行文件

通用反编译器

HexRay

https://www.hex-rays.com/products/decompiler/

RetDec https://retdec.com/decompilation/

Boomerang http://boomerang.sourceforge.net/

Java Decompiler

Procyon

https://bitbucket.org/mstrobel/procyon/wiki/Java%20Decompiler

JD-GUI http://jd.benow.ca/

JAD https://varaneckas.com/jad/

NET反编译器

JustDecompile

http://www.telerik.com/products/decompiler.aspx

dotPeek https://www.jetbrains.com/decompiler/

Delphi反编译器

IDR http://kpnc.org/idr32/en/

Revendepro

http://www.ggoossen.net/revendepro/

Python反编译器

Uncompyle6

https://github.com/rocky/python-uncompyle6/

Decompyle ++ https://github.com/zrax/pycdc

字节码分析

字节码分析工具

dnSpy https://github.com/0xd4d/dnSpy

字节码查看器 https://bytecodeviewer.com/

字节码查看器 https://bytecodeviewer.com/

字节可视化

http://www.drgarbage.com/bytecode-visualizer/

JPEXS Flash Decompiler

https://www.free-decompiler.com/flash/

导入重构

导入重构工具

ImpRec

http://www.woodmann.com/collaborative/tools/index.php/ImpREC

Scylla https://github.com/NtQuery/Scylla

LordPE

http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip

在线扫描仪和沙箱

以下工具用于基于Web的多AV扫描仪，以及用于自动分析的恶意软件沙箱

anlyz.io– 在线沙箱

https://sandbox.anlyz.io/

AndroTotal– 针对多个移动防病毒应用程序免费在线分析APK

https://andrototal.org/

AVCaesar– Malware.lu在线扫描程序和恶意软件存储库

https://avcaesar.malware.lu/

Cryptam– 分析可疑的办公文档

http://www.cryptam.com/

Cuckoo Sandbox– 开源，自托管沙箱和自动分析系统

https://cuckoosandbox.org/

cuckoo-modified–

https://github.com/brad-accuvant/cuckoo-modified

DeepViz– 具有机器学习分类的多格式文件分析器

https://www.deepviz.com/

detux– 开发用于对Linux恶意软件进行流量分析并捕获IOC的沙箱

https://github.com/detuxsandbox/detux/

DRAKVUF– 动态恶意软件分析系统

https://github.com/tklengyel/drakvuf

firmware.re– 解压缩，扫描和分析几乎所有固件包

http://firmware.re/

HaboMalHunter– Linux ELF文件的自动恶意软件分析工具

https://github.com/Tencent/HaboMalHunter

混合分析– 在线恶意软件分析工具，由VxSandbox提供支持

https://www.hybrid-analysis.com/

IRMA– 针对可疑文件的异步和可自定义分析平台

http://irma.quarkslab.com/

Joe Sandbox– 使用Joe Sandbox进行深度恶意软件分析

https://www.joesecurity.org/

Jotti – 免费在线多AV扫描仪

https://virusscan.jotti.org/en

Limon– 用于分析Linux恶意软件的沙箱

https://github.com/monnappa22/Limon

Malheur– 恶意软件行为的自动沙盒分析

https://github.com/rieck/malheur

malsub– 用于在线恶意软件和URL分析服务的Python RESTful API框架

https://github.com/diogo-fernan/malsub

恶意软件配置– 从常见恶意软件中在线提取，解码和显示配置设置

https://malwareconfig.com/

Malwr– 使用在线Cuckoo Sandbox实例进行免费分析

https://malwr.com/

MASTIFF Online– 恶意软件的在线静态分析

https://mastiff-online.korelogic.com/

Metadefender.com– 扫描恶意软件的文件，哈希或IP地址（免费）

https://www.metadefender.com/