工具资源(源地址已标记，怕丢故复制一份）如有侵权，联系删！

博主： unique-Elven
发布时间：2023 年 06 月 05 日
161 次浏览
暂无评论
23895字数
分类：逆向工程学习经验

[恶意代码分析-工具收集 - 17bdw - 博客园 (cnblogs.com)](https://www.cnblogs.com/17bdw/p/10254565.html)

# 恶意代码分析-工具收集（源地址已标记，怕丢故复制一份）如有侵权，联系删！

## 恶意代码分析实战

Strings：字符串查找工具

[https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings](https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings)

Resource Hacker工具：查看资源节内容

[http://www.angusj.com](http://www.angusj.com/)

## 恶意软件自动化分析工具套件

恶意软件分析套件：[https://github.com/Cherishao/Analysis-Tools](https://github.com/Cherishao/Analysis-Tools)

* PeStudio:`windows可执行二进制文件静态分析取证工具`
* [https://www.winitor.com/tools/PeStudio/Current/PeStudio.zip](https://www.winitor.com/tools/PeStudio/Current/PeStudio.zip)
* MASTIFF:`APT攻击样本静态分析工具`
* [http://sourceforge.net/projects/mastiff/files/latest/download](http://sourceforge.net/projects/mastiff/files/latest/download)
* COMODO:`科摩多未知文件分析工具`
* [https://consumer.valkyrie.comodo.com/apt\_tool/download/UnknownFileHunter.exe](https://consumer.valkyrie.comodo.com/apt_tool/download/UnknownFileHunter.exe)
* VirusTotal:`在线病毒,恶意软件,url扫描器`
* [https://www.virustotal.com/](https://www.virustotal.com/)
* ThreatTrack:`在线病毒,恶意软件,url扫描器`
* [https://www.virustotal.com/](https://www.virustotal.com/)
* virscan:`在线病毒,恶意软件,url扫描器`
* [http://www.virscan.org/](http://www.virscan.org/)
* threatexpert:`在线病毒,恶意软件,url扫描器`
* [http://www.threatexpert.com/filescan.aspx](http://www.threatexpert.com/filescan.aspx)
* malwareviz:`在线病毒,恶意软件,url扫描器`
* [https://www.malwareviz.com/](https://www.malwareviz.com/)
* vicheck:`在线病毒,恶意软件,url扫描器`
* [https://www.vicheck.ca/](https://www.vicheck.ca/)
* metadefender:`在线病毒,恶意软件,url扫描器`
* [https://www.metadefender.com/#!/scan-file](https://www.metadefender.com/#!/scan-file)

===================================================

### 文档分析工具

* OfficeMalScanner:`MS Office文档检测工具`
* [http://www.reconstructer.org/code/OfficeMalScanner.zip](http://www.reconstructer.org/code/OfficeMalScanner.zip)
* OfficeMalScanner:`微软官方的office文档二进制格式查看工具`
* [http://download.microsoft.com/download/1/2/7/127ba59a-4fe1-4acd-ba47-513ceef85a85/offvis.zip](http://download.microsoft.com/download/1/2/7/127ba59a-4fe1-4acd-ba47-513ceef85a85/offvis.zip)
* Cryptam Document Scanner:`在线的恶意文档扫描器`
* [http://www.malwaretracker.com/doc.php](http://www.malwaretracker.com/doc.php)
* PDF Examiner:`在线的PDF文档扫描器`
* [http://www.malwaretracker.com/pdf.php](http://www.malwaretracker.com/pdf.php)
* Pdf Tools:`pdf文档解析工具集`
* [https://blog.didierstevens.com/programs/pdf-tools/](https://blog.didierstevens.com/programs/pdf-tools/)
* PDF X-RAY:`多pdf文档检测工具`
* [https://github.com/9b/pdfxray\_lite](https://github.com/9b/pdfxray_lite)
* [https://github.com/9b/pdfxray\_public](https://github.com/9b/pdfxray_public)
* peepdf:`pdf文档解析分析工具`
* [http://eternal-todo.com/files/pdf/peepdf/peepdf\_0.3.zip](http://eternal-todo.com/files/pdf/peepdf/peepdf_0.3.zip)
* origami:`pdf文档解析分析工具`
* [https://code.google.com/archive/p/origami-pdf/](https://code.google.com/archive/p/origami-pdf/)
* PDF Stream Dumper:`pdf文档检测工具`
* [http://sandsprite.com/blogs/index.php?uid=7&pid=57](http://sandsprite.com/blogs/index.php?uid=7&pid=57)

===================================================

### JavaScript分析工具

* Firebug:`开源的web开发工具,用于实时的编辑,调试,监视CSS,HTML,JavaScript代码`
* [https://getfirebug.com/downloads](https://getfirebug.com/downloads)
* jsunpack-n:`解码javascript脚本的工具`
* [http://jsunpack-n.googlecode.com/svn/trunk/](http://jsunpack-n.googlecode.com/svn/trunk/)
* JavaScript Beautifier:`美化javascript代码的工具`
* [http://jsbeautifier.org/](http://jsbeautifier.org/)
* [http://javascriptbeautifier.com/](http://javascriptbeautifier.com/)
* [https://github.com/beautify-web/js-beautify](https://github.com/beautify-web/js-beautify)
* js deobfuscator:`javascript去混淆工具`
* [https://addons.cdn.mozilla.net/user-media/addons/10345/javascript\_deobfuscator-2.0.4-fx.xpi?filehash=sha256%3Aef2dcc00084ff7a9b128d8174906cf4606fcf353aae2c4b7b41627aeff8eaefa](https://addons.cdn.mozilla.net/user-media/addons/10345/javascript_deobfuscator-2.0.4-fx.xpi?filehash=sha256%3Aef2dcc00084ff7a9b128d8174906cf4606fcf353aae2c4b7b41627aeff8eaefa)
* Web Inspector:`OSX或者ios系统的javascript代码调试工具`
* [https://developer.apple.com/safari/tools/](https://developer.apple.com/safari/tools/)
* Rhino:`基于java的javascript引擎实现`
* [https://github.com/downloads/mozilla/rhino/rhino1\_7R4.zip](https://github.com/downloads/mozilla/rhino/rhino1_7R4.zip)
* SpiderMonkey 24:`火狐24中的Javascript引擎`
* [https://ftp.mozilla.org/pub/mozilla.org/js/mozjs-24.2.0.tar.bz2](https://ftp.mozilla.org/pub/mozilla.org/js/mozjs-24.2.0.tar.bz2)
* Malzilla:`高级恶意代码检测工具,用于检测基于web的漏洞利用,对javascript代码进行解码,去混淆`
* [https://sourceforge.net/projects/malzilla/files/Malzilla Win32 Binary package/](https://sourceforge.net/projects/malzilla/files/Malzilla%20Win32%20Binary%20package/)

===================================================

### 系统&文件监视工具

* Sysinternals Suite:`Windows免费的工具套件,涵盖-文件磁盘工具,网络工具,进程工具,安全工具,系统信息工具,其他类型工具等等`
* [http://download.sysinternals.com/files/SysinternalsSuite.zip](http://download.sysinternals.com/files/SysinternalsSuite.zip)
* Regshot:`开源(LGPL)的注册表静态比较工具`
* [https://nchc.dl.sourceforge.net/project/regshot/regshot/1.9.0/Regshot-1.9.0.7z](https://nchc.dl.sourceforge.net/project/regshot/regshot/1.9.0/Regshot-1.9.0.7z)
* CaptureBat:`Win32平台下应用程序行为分析工具`
* [https://www.honeynet.org/files/CaptureBAT-Setup-2.0.0-5574.exe](https://www.honeynet.org/files/CaptureBAT-Setup-2.0.0-5574.exe)
* SysAnalyzer:`恶意代码行为分析工具`
* [https://github.com/dzzie/SysAnalyzer/archive/master.zip](https://github.com/dzzie/SysAnalyzer/archive/master.zip)
* Process Hacker:`开源的进程浏览,内存编辑工具`
* [http://processhacker.googlecode.com/files/processhacker-2.33-bin.zip](http://processhacker.googlecode.com/files/processhacker-2.33-bin.zip)
* GMER:`AntiRookit工具`
* [http://www.gmer.net/](http://www.gmer.net/)
* ProcDot:`恶意软件行为分析工具`
* windows:[http://procdot.com/download/procdot/binaries/procdot\_1\_1\_beta\_41\_windows.zip](http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_windows.zip)
* linux:[http://procdot.com/download/procdot/binaries/procdot\_1\_1\_beta\_41\_linux.zip](http://procdot.com/download/procdot/binaries/procdot_1_1_beta_41_linux.zip)
* Radiography:`windows平台下的取证工具`
* [http://sbdtools.googlecode.com/files/RadioGraPhyV2.zip](http://sbdtools.googlecode.com/files/RadioGraPhyV2.zip)
* RunScanner:`系统隐藏信息扫描工具`
* [http://download.runscanner.net/runscanner.exe](http://download.runscanner.net/runscanner.exe)
* Noriben:`沙箱`
* [https://github.com/Rurik/Noriben](https://github.com/Rurik/Noriben)
* API Monitor:`API调用情况监视工具`
* [http://www.rohitab.com/download/api-monitor-v2r13-x86-x64.zip](http://www.rohitab.com/download/api-monitor-v2r13-x86-x64.zip)

===================================================

### shellcode分析工具

* ShellDetect:`shellcode检测工具`
* [http://securityexploded.com/getsoftware\_direct.php?id=4501](http://securityexploded.com/getsoftware_direct.php?id=4501)
* libmu:`用C语言实现的基于x86的shellcode检测的库`
* [https://ncu.dl.sourceforge.net/project/nepenthes/libemu development/0.2.0/libemu-0.2.0.tar.gz](https://ncu.dl.sourceforge.net/project/nepenthes/libemu%20development/0.2.0/libemu-0.2.0.tar.gz)
* Shellcode2Exe:`Shellcode转exe工具`
* [http://sandsprite.com/shellcode\_2\_exe.php](http://sandsprite.com/shellcode_2_exe.php)
* ConvertShellcode:`将shellcode转换为x86汇编指令,便于理解`
* [https://zeltser.com/convert-shellcode-to-assembly/](https://zeltser.com/convert-shellcode-to-assembly/)
* Shellcode(Malware-Tracker):`shellcode在线分析服务`
* [http://www.malwaretracker.com/shellcode.php](http://www.malwaretracker.com/shellcode.php)
* JMP2IT:`将EIP的控制权转移到shellcode在文件中的指定偏移处,便于暂停对恶意代码进行分析取证`
* [https://github.com/adamkramer/jmp2it/](https://github.com/adamkramer/jmp2it/)

===================================================

### 网络分析工具

* WireShark:`网络协议抓包分析工具`
  嗅探恶意代码通信数据包
* [http://wiresharkdownloads.riverbed.com/wireshark/win32/WiresharkPortable-1.12.1.paf.exe](http://wiresharkdownloads.riverbed.com/wireshark/win32/WiresharkPortable-1.12.1.paf.exe)
* FakeNet:`用于Windows恶意软件分析的网络仿真工具`
* [https://sourceforge.net/projects/fakenet/](https://sourceforge.net/projects/fakenet/)
* INetSim:`模拟各种Internet交互的软件，目前支持的协议有HTTP/HTTPS、SMTP/SMTPS、POP3/POP3S、DNS、FTP/FTPS、TFTP、IRC，以及NTP等`
  基于Linux模拟常见网络服务的免费软件，通过模拟服务（HTTP、HTTPS、FTP、IRC、DNS、SMTP等），分析未知恶意代码的网络行为。
* [http://www.inetsim.org/downloads/inetsim-1.2.5.tar.gz](http://www.inetsim.org/downloads/inetsim-1.2.5.tar.gz)
* ncat:`TCP/IP瑞士军刀,支持端口扫描,标志提取,端口转发/代理,文件传输,蜜罐`
* [https://nmap.org/ncat/](https://nmap.org/ncat/)
* APT Protocol Decoders:`各种解码器`
* [http://www.malwaretracker.com/decoder\_base64.php](http://www.malwaretracker.com/decoder_base64.php)
* [http://www.malwaretracker.com/decoder\_comment\_des.php](http://www.malwaretracker.com/decoder_comment_des.php)
* [http://www.malwaretracker.com/decoder\_joy.php](http://www.malwaretracker.com/decoder_joy.php)
* [http://www.malwaretracker.com/decoder\_binanen.php](http://www.malwaretracker.com/decoder_binanen.php)
* [http://www.malwaretracker.com/decoder\_miniasp.php](http://www.malwaretracker.com/decoder_miniasp.php)
* Fake DNS:`基于正则表达式的python中间人DNS服务器,支持DNS的重绑定攻击`
* [https://github.com/Crypt0s/FakeDns](https://github.com/Crypt0s/FakeDns)
* Apate DNS:`图形化的DNS响应控制工具`
  ApateDNS可以对用户指定的IP地址给出虚假的DNS响应，用你指定的IP地址去响应DNS查询请求。
* [https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip](https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-apatedns.zip)
* Fake SMTP:`SMTP服务器伪造工具,用于测试应用程序的电子邮件功能`
* [http://nilhcem.github.io/FakeSMTP/downloads/fakeSMTP-latest.zip](http://nilhcem.github.io/FakeSMTP/downloads/fakeSMTP-latest.zip)
* Honeyd:`小型的网络蜜罐`
* [http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz](http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz)
* tcp dump:`强大的命令行网络数据包分析工具`
* [http://www.tcpdump.org/release/tcpdump-4.6.2.tar.gz](http://www.tcpdump.org/release/tcpdump-4.6.2.tar.gz)
* Fiddler:`HTTP/HTTPS抓包工具`
* [http://www.telerik.com/download/fiddler/fiddler4](http://www.telerik.com/download/fiddler/fiddler4)
* BurpSuite:`渗透测试中使用广泛的一款抓包工具,还带有web漏洞扫描,爬虫,暴力破解等功能`
* [http://portswigger.net/burp/downloadfree.html](http://portswigger.net/burp/downloadfree.html)
* Network Miner:`跨平台的网络取证分析工具`
* [http://sourceforge.net/projects/networkminer/files/latest/download](http://sourceforge.net/projects/networkminer/files/latest/download)
* Ngrep:`网路数据包嗅探分析工具`
* [http://prdownloads.sourceforge.net/ngrep/ngrep-1.45-win32-bin.zip?download](http://prdownloads.sourceforge.net/ngrep/ngrep-1.45-win32-bin.zip?download)
* NetWitness:`原始网络数据包分析工具`
* [http://download.cnet.com/NetWitness-Investigator/3001-2085\_4-10905215.html?hlndr=1](http://download.cnet.com/NetWitness-Investigator/3001-2085_4-10905215.html?hlndr=1)

===================================================

### URL分析工具

* HTTP Viewer:`http请求工具`
* [http://www.rexswain.com/httpview.html](http://www.rexswain.com/httpview.html)
* UrlQuery:`在线的url测试分析服务`
* [https://urlquery.net/index.php](https://urlquery.net/index.php)
* URL Void:`网站域名黑名单扫描,方便检测可能有危险的网站-存在恶意软件或者欺诈活动的`
* [http://www.urlvoid.com/](http://www.urlvoid.com/)
* Norton Safe Web:`诺顿提供的网站安全性检测服务`
* [https://safeweb.norton.com/](https://safeweb.norton.com/)
* vURL:`快速安全的检测恶意或者可疑网站`
* [https://vurldissect.co.uk/](https://vurldissect.co.uk/)
* Spondulas:`浏览器模拟器/解析器,用于检索和捕获存在恶意软件的页面`
* [https://sourceforge.net/projects/spondulas/?source=typ\_redirect](https://sourceforge.net/projects/spondulas/?source=typ_redirect)
* VirusTotal:`在线URL检测服务`
* [https://www.virustotal.com/](https://www.virustotal.com/)
* PhishTank:`检测钓鱼页面`
* [http://www.phishtank.com/](http://www.phishtank.com/)
* netrenderer:`显示IE 5,6,7,8,9,10,11是如何呈现页面的`
* [http://netrenderer.com/](http://netrenderer.com/)

===================================================

### SWF分析工具

* SWFTools:`用于处理Adobe Flash文件(SWF)的实用程序集合`
* windows:[http://www.swftools.org/swftools-2013-04-09-1007.exe](http://www.swftools.org/swftools-2013-04-09-1007.exe)
* linux:[http://www.swftools.org/swftools-2013-04-09-1007.tar.gz](http://www.swftools.org/swftools-2013-04-09-1007.tar.gz)
* SWF Investigator:`SWF检测工具,帮助Flash开发者全面分析SWF文件中元素,资源,AMF通讯,指令集装配方式,AS3库等`
* windows:[http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator\_p5\_win\_update\_052213.exe](http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_win_update_052213.exe)
* osx:[http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator\_p5\_mac\_update\_052213.zip](http://labsdownload.adobe.com/pub/labs/swfinvestigator/swfinvestigator_p5_mac_update_052213.zip)
* SWF decompiler:`领先的Flash反编译器&Flash转HTML5工具`
* windows:[http://www2.sothink.com/download/swfdec.zip](http://www2.sothink.com/download/swfdec.zip)
* osx:[http://www2.sothink.com/download/swfdec-mac.dmg](http://www2.sothink.com/download/swfdec-mac.dmg)
* SWFRETools:`Adobe Flash Player漏洞分析,恶意SWF文件分析工具集合`
* [https://github.com/downloads/sporst/SWFREtools/swfretools\_140.zip](https://github.com/downloads/sporst/SWFREtools/swfretools_140.zip)
* Flasm:`SWF反汇编工具`
* windows:[http://www.nowrap.de/download/flasm16win.zip](http://www.nowrap.de/download/flasm16win.zip)
* osx:[http://www.nowrap.de/download/flasm16mac.tgz](http://www.nowrap.de/download/flasm16mac.tgz)
* linux:[http://www.nowrap.de/download/flasm16linux.tgz](http://www.nowrap.de/download/flasm16linux.tgz)
* Flare:`提取SWF中所有ActionScript脚本工具`
* windows:[http://www.nowrap.de/download/flare06doswin.zip](http://www.nowrap.de/download/flare06doswin.zip)
* osx:[http://www.nowrap.de/download/flare06mac.tgz](http://www.nowrap.de/download/flare06mac.tgz)
* linux:[http://www.nowrap.de/download/flare06linux.tgz](http://www.nowrap.de/download/flare06linux.tgz)
* solaris:[http://www.nowrap.de/download/flare06solaris.tgz](http://www.nowrap.de/download/flare06solaris.tgz)
* xxxswf:`用于扫描,压缩,解压缩,分析Flash SWF文件的脚本`
* [https://bitbucket.org/Alexander\_Hanel/xxxswf/get/244e32357dd5.zip](https://bitbucket.org/Alexander_Hanel/xxxswf/get/244e32357dd5.zip)

===================================================

### 内存取证分析工具

* Volatility:`支持windows,linux,mac os,android等平台的内存取证框架`
* [https://github.com/volatilityfoundation/volatility](https://github.com/volatilityfoundation/volatility)
* Volatilitux:`对于Linux系统来说,Volatilitux相当于Volatility`
* [https://code.google.com/archive/p/volatilitux/downloads](https://code.google.com/archive/p/volatilitux/downloads)
* Linux Memory Extractor[LIME]:`可加载内核模块(LKM),允许从Linux和基于Linux的Android设备获取RAM内存`
* [https://github.com/504ensicsLabs/LiME](https://github.com/504ensicsLabs/LiME)
* MemoryAnalysis:`可加载内核模块(LKM),允许从Linux和基于Linux的Android设备获取RAM内存`
* [https://github.com/504ensicsLabs/LiME](https://github.com/504ensicsLabs/LiME)
* Memoryze:`火眼公司打造的内存取证软件`
* [https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-memoryze.zip](https://www.fireeye.com/content/dam/fireeye-www/services/freeware/sdl-memoryze.zip)
* Redline:`火眼公司推出主要用于用户主机取证调查的工具`
* [https://www.fireeye.com/services/freeware/redline.html](https://www.fireeye.com/services/freeware/redline.html)

===================================================

### 调试器

* Ollydbg:`win32平台下的ring3调试器`
* 2.0:[http://www.ollydbg.de/odbg200.zip](http://www.ollydbg.de/odbg200.zip)
* 1.1:[http://www.ollydbg.de/odbg110.zip](http://www.ollydbg.de/odbg110.zip)
* Immunity Debugger:`win32平台下的漏洞调试,恶意代码分析,逆向工程的利器`
* [http://debugger.immunityinc.com/getID.py?hash=705393dfcc9066537a1141a1c1cca2790bdb830a](http://debugger.immunityinc.com/getID.py?hash=705393dfcc9066537a1141a1c1cca2790bdb830a)
* Windbg:`微软官方提供的用户以及内核模式调试利器`
* [https://www.microsoft.com/en-us/download/confirmation.aspx?id=8279](https://www.microsoft.com/en-us/download/confirmation.aspx?id=8279)
* GDB:`Linux平台下的调试器`
* [http://ftp.gnu.org/gnu/gdb/](http://ftp.gnu.org/gnu/gdb/)
* EDB:`Linux平台下的调试器`
* [http://codef00.com/downloads/debugger-0.9.20.tgz](http://codef00.com/downloads/debugger-0.9.20.tgz)

===================================================

### 反汇编工具

* IDA Pro:`跨平台的反汇编神器`
* [https://www.hex-rays.com/products/ida/support/download\_freeware.shtml](https://www.hex-rays.com/products/ida/support/download_freeware.shtml)
  IDA7.2破解版本

```bash
## 更新说明
https://www.hex-rays.com/products/ida/7.2/index.shtml
## 破解文章
作者阐述了一下对IDA安装密码的攻击方法，通过枚举多种语言默认的随机数发生器，发现了IDA生成随机数的语言和版本，继而可以利用同样的方法在10min左右可以暴力算出有效的安装密码
https://devco.re/blog/2019/06/21/operation-crack-hacking-IDA-Pro-installer-PRNG-from-an-unusual-way-en/
## 下载地址
ida pro 7.2  x64版本
安装密码
passwd ：7JpT48a7Y2fv
链接：https://pan.baidu.com/s/1UqpaacGafLcPObxWOUIuDQ 
提取码：54d4
下载地址1：https://mega.nz/#!MvADFShZ!KBBhPo734cvq8s_hqerHV6_L0-hyf99LrmrSDQ6KH-U
下载地址2：https://share.weiyun.com/5Eg1MVA
```

* Hopper:`支持Windows,Linux,OSX等平台下应用程序的逆向工程`
* OSX:[https://d1f8bh81yd16yv.cloudfront.net/Hopper-3.13.2.zip](https://d1f8bh81yd16yv.cloudfront.net/Hopper-3.13.2.zip)
* Ubuntu:[http://www.hopperapp.com/HopperWeb/downloads\_linux/hopperv3-3.5.9.1.deb](http://www.hopperapp.com/HopperWeb/downloads_linux/hopperv3-3.5.9.1.deb)
* Fedora:[http://www.hopperapp.com/HopperWeb/downloads\_linux/Hopper-3.5.9.1-1.x86\_64.rpm](http://www.hopperapp.com/HopperWeb/downloads_linux/Hopper-3.5.9.1-1.x86_64.rpm)
* Capstone:`轻量级的多平台多架构支持的反汇编框架。支持包括ARM，ARM64，MIPS和x86/x64平台`
* [http://www.capstone-engine.org/download.html](http://www.capstone-engine.org/download.html)
* Cerbero Profiler:`恶意文档格式分析工具`
* windows:[https://store.cerbero.io/static/downloads/profiler/profiler\_setup\_2.2.0.exe](https://store.cerbero.io/static/downloads/profiler/profiler_setup_2.2.0.exe)
* osx:[https://store.cerbero.io/static/downloads/profiler/Profiler\_2.2.0.dmg](https://store.cerbero.io/static/downloads/profiler/Profiler_2.2.0.dmg)
* linux:[https://store.cerbero.io/static/downloads/profiler/profiler\_2.2.0.tar.gz](https://store.cerbero.io/static/downloads/profiler/profiler_2.2.0.tar.gz)

===================================================

### 十六进制编辑器

* Hexplorer:`Windows平台下的十六进制编辑器`
* [https://www.hex-rays.com/products/ida/support/download\_freeware.shtml](https://www.hex-rays.com/products/ida/support/download_freeware.shtml)
* Capstone:`轻量级的多平台多架构支持的反汇编框架。支持包括ARM，ARM64，MIPS和x86/x64平台`
* [http://www.capstone-engine.org/download.html](http://www.capstone-engine.org/download.html)
* 010Editor:`跨平台的文件格式分析编辑工具`
* [http://download.sweetscape.com/010EditorWin32Installer702.exe](http://download.sweetscape.com/010EditorWin32Installer702.exe)
* BinText:`文本文件扫描工具`
* [http://b2b-download.mcafee.com/products/tools/foundstone/bintext303.zip](http://b2b-download.mcafee.com/products/tools/foundstone/bintext303.zip)
* Hackman Suite:`十六进制编辑器`
* [http://www.technologismiki.com/uplx/hack930.zip](http://www.technologismiki.com/uplx/hack930.zip)
* HXD:`十六进制编辑器`
* [http://mh-nexus.de/en/downloads.php?product=HxD](http://mh-nexus.de/en/downloads.php?product=HxD)

===================================================

### 查壳工具

* RDG Packer Detector:`查壳工具`
* [http://www.rdgsoft.net/downloads/RDG Packer Detector v0.7.3.2014.rar](http://www.rdgsoft.net/downloads/RDG%20Packer%20Detector%20v0.7.3.2014.rar)
* Peid:`查壳工具`
* [http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml](http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/PEiD-updated.shtml)
* Language 2000:`查壳工具`
* [https://farrokhi.net/language/](https://farrokhi.net/language/)
* Exescan:`PE文件检测工具`
* [http://securityexploded.com/getsoftware\_direct.php?id=4011](http://securityexploded.com/getsoftware_direct.php?id=4011)
* Quick Unpack:`通用脱壳工具`
* [http://depositfiles.com/files/7w625zzad](http://depositfiles.com/files/7w625zzad)

===================================================

### DNS&IP信息搜集工具

* MXTOOLBOX:`快速,准确的网络诊断查找,搜集所有的MX记录,DNS,黑名单和SMTP诊断的一个集成工具`
* [http://mxtoolbox.com/SuperTool.aspx#](http://mxtoolbox.com/SuperTool.aspx#)
* CyINT Internet Utilities:`提供实时的网络信息搜集`
* [https://cy-int.com/inputs](https://cy-int.com/inputs)
* Domain Tools:`Whois信息查询系统`
* [http://www.domaintools.com/products/domain-research/](http://www.domaintools.com/products/domain-research/)
* Robtex:`Whois信息查询系统`
* [https://www.robtex.com/](https://www.robtex.com/)
* Network-Tools:`域名/IP信息收集工具`
* [http://network-tools.com/](http://network-tools.com/)
* DomainDossier:`域名/IP信息收集工具`
* [http://centralops.net/co/DomainDossier.aspx](http://centralops.net/co/DomainDossier.aspx)
* dns lookup:`DNS记录查询系统`
* [http://www.dnsqueries.com/en/dns\_lookup.php](http://www.dnsqueries.com/en/dns_lookup.php)
* dns lookup:`域名/IP信息综合查询系统`
* [http://www.mydnstools.info/](http://www.mydnstools.info/)
* dnstools:`DNS查询系统`
* [https://www.ultratools.com/dnsTools](https://www.ultratools.com/dnsTools)
* dnsstuff:`网站信息综合查询工具`
* [http://www.dnsstuff.com/tools](http://www.dnsstuff.com/tools)

===================================================

### PE分析工具

* PE Insider:`可执行文件PE格式查看工具`
* [http://cerbero.io/static/tools/peinsider\_setup.exe](http://cerbero.io/static/tools/peinsider_setup.exe)
* CFF Explorer:`PE文件格式编辑工具`
* [http://www.ntcore.com/files/ExplorerSuite.exe](http://www.ntcore.com/files/ExplorerSuite.exe)
* LordPe:`PE文件格式编辑工具`
* [http://www.woodmann.com/collaborative/tools/images/Bin\_LordPE\_2010-6-29\_3.9\_LordPE\_1.41\_Deluxe\_b.zip](http://www.woodmann.com/collaborative/tools/images/Bin_LordPE_2010-6-29_3.9_LordPE_1.41_Deluxe_b.zip)
* PeView:`PE文件格式编辑工具`
* [http://wjradburn.com/software/PEview.zip](http://wjradburn.com/software/PEview.zip)
* PE Explorer:`PE文件格式编辑工具`
* [http://www.heaventools.com/download/pexsetup.exe](http://www.heaventools.com/download/pexsetup.exe)
* ChimPrec:`导入表重建工具`
* [http://www.woodmann.com/collaborative/tools/images/Bin\_CHimpREC\_2008-6-24\_13.59\_CHimpREC.zip](http://www.woodmann.com/collaborative/tools/images/Bin_CHimpREC_2008-6-24_13.59_CHimpREC.zip)
* Malcode Analysis Pack:`恶意代码分析工具包`
* [http://sandsprite.com/CodeStuff/map\_setup.exe](http://sandsprite.com/CodeStuff/map_setup.exe)

===================================================

### 虚拟机镜像

* REMnux:`REMnux是一份轻量级的、基于Ubuntu的Linux发行,用于辅佐分析人员对恶意软件进行逆向工程`
* [https://sourceforge.net/projects/remnux/](https://sourceforge.net/projects/remnux/)
* Kali:`渗透测试工程师专用系统`
* [http://cdimage.kali.org/kali-1.0.9a/kali-linux-1.0.9a-amd64.iso](http://cdimage.kali.org/kali-1.0.9a/kali-linux-1.0.9a-amd64.iso)
* santoku:`包括了一系列开源安全工具,可以帮助你的移动设备进行取证、恶意软件分析和安全测试`
* [https://sourceforge.net/projects/santoku/files/latest/download](https://sourceforge.net/projects/santoku/files/latest/download)
* OSAF:`安卓取证分析套件`
* [http://sourceforge.net/projects/osaftoolkit/files/latest/download](http://sourceforge.net/projects/osaftoolkit/files/latest/download)
* SIFT:`SANS推出的数字取证工具包`
* [https://digital-forensics31.sans.org/community/download-sift-kit/3.0](https://digital-forensics31.sans.org/community/download-sift-kit/3.0)
* MobiSec:`在线的安全审计,恶意软件(android app)检测和分析工具`
* [http://sourceforge.net/projects/mobisec/files/latest/download?source=files](http://sourceforge.net/projects/mobisec/files/latest/download?source=files)

[回到顶部](https://www.cnblogs.com/17bdw/p/10254565.html#_labelTop)

## 进程监视器

ProcessMonitor是Windows系统下的高级监视工具，提供一种方式来监控注册表、文件系统、网络、进程和线程行为。

通过Filter-Filter打开过滤菜单，过滤文件行为

查找PID、针对某些特定的函数过滤，比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。

[回到顶部](https://www.cnblogs.com/17bdw/p/10254565.html#_labelTop)

## 进程浏览器

Process Explorer（进程浏览器）监视系统上执行的进程，以树状结构进行显示。

* 查看进程中的DLL
* 验证签名
* 比较进程的字符串（内存、文件），判断有没有被内存注入
* Find DLL功能：在磁盘上尝试发现一个恶意的DLL，并且想知道是否有运行进程使用了这个DLL，就可以进行查找。

[回到顶部](https://www.cnblogs.com/17bdw/p/10254565.html#_labelTop)

## 监听某个端口-NetCat

通过ApateDNS把恶意代码请求的C2网址查询请求重定向到本机，可以在执行恶意代码前，用NetCat监听连接。

监听80端口请求：

```css
netcat -l -p 80
```

最后修改：2023 年 06 月 05 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

名称 *

🎲

邮箱 *

地址

affgrzbhop
文章的叙述风格独特，用词精准，让人回味无穷。
adtmqpnohc
文章紧扣主题，观点鲜明，展现出深刻的思考维度。
zvbxxphjlf
选材新颖独特，通过细节描写赋予主题鲜活生命力。
owculzhvhb
文章结构紧凑，层次分明，逻辑严密，让人一读即懂。
zelkzjiisy
终极关怀的缺失可尝试补充升华。

工具资源(源地址已标记，怕丢故复制一份）如有侵权，联系删！

unique-Elven • 2023 年 06 月 05 日

[恶意代码分析-工具收集 - 17bdw - 博客园 (cnblogs.com)](https://www.cnblogs.com/17bdw/p/10254565.html)

# 恶意代码分析-工具收集（源地址已标记，怕丢故复制一份）如有侵权，联系删！

## 恶意代码分析实战

Strings：字符串查找工具

[https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings](https://docs.microsoft.com/zh-cn/sysinternals/downloads/strings)

Resource Hacker工具：查看资源节内容

[http://www.angusj.com](http://www.angusj.com/)

## 恶意软件自动化分析工具套件

恶意软件分析套件：[https://github.com/Cherishao/Analysis-Tools](https://github.com/Cherishao/Analysis-Tools)

===================================================

### 文档分析工具

===================================================

### JavaScript分析工具

===================================================

### 系统&文件监视工具

===================================================

### shellcode分析工具

===================================================

### 网络分析工具

===================================================

### URL分析工具

===================================================

### SWF分析工具

===================================================

### 内存取证分析工具

===================================================

### 调试器

===================================================

### 反汇编工具

===================================================

### 十六进制编辑器

===================================================

### 查壳工具

===================================================

### DNS&IP信息搜集工具

===================================================

### PE分析工具

===================================================

### 虚拟机镜像

[回到顶部](https://www.cnblogs.com/17bdw/p/10254565.html#_labelTop)

## 进程监视器

ProcessMonitor是Windows系统下的高级监视工具，提供一种方式来监控注册表、文件系统、网络、进程和线程行为。

通过Filter-Filter打开过滤菜单，过滤文件行为

查找PID、针对某些特定的函数过滤，比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。

[回到顶部](https://www.cnblogs.com/17bdw/p/10254565.html#_labelTop)

## 进程浏览器

Process Explorer（进程浏览器）监视系统上执行的进程，以树状结构进行显示。

[回到顶部](https://www.cnblogs.com/17bdw/p/10254565.html#_labelTop)

## 监听某个端口-NetCat

通过ApateDNS把恶意代码请求的C2网址查询请求重定向到本机，可以在执行恶意代码前，用NetCat监听连接。

监听80端口请求：

```css
netcat -l -p 80
```

工具资源(源地址已标记，怕丢故复制一份）如有侵权，联系删！

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

BUUCTF-CrackRTF(Reverse逆向)

BUUCTF-[2019红帽杯]easyRE(Reverse逆向)

SSRF

服装生产销售管理系统

恶意代码分析入门--静态分析（chapter1_Lab01-01）

2023年度天津市职业院校技能大赛学生赛高职组“信息安全管理与评估赛项”比赛

Linux安全运维--iptables学习记录

009-Boonz-KeygenMe#1 的 write up

003-Cruehead-CrackMe-3的 write up

016-fty_crkme3 的 weite up

工具资源(源地址已标记，怕丢故复制一份）如有侵权，联系删！

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

工具资源(源地址已标记，怕丢故复制一份）如有侵权，联系删！

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款