متخصصان حوزهی امنیت همیشه باید با ابزارها، روشها و مفاهیم جدید آشنا شوند تا بتوانند تهدیدات پیچیده و حملات سایبری امروزی را تحلیل نمایند. در این خبر به معرفی برخی از مهمترین ابزارها، کتابها و منابعی پرداخته خواهد شد که در تجزیه و تحلیل بدافزار و مهندسی معکوس مورد استفاده قرار میگیرد.
ویراستارهای Hex
یک ویراستار Hex (یا ویراستار فایل باینری یا Byteeditor) نوعی برنامهی کامپیوتری است که به کاربر توانایی دستکاری دادههای باینری اساسی را میدهد و یک فایل کامپیوتری را تشکیل میدهند. نام «Hex» از واژهی «Hexadecimal» میآید، فرمت استاندارد عددی برای نمایش دادههای باینری است. در زیر چند برنامه ویراستار به همراه لینک توضیحات آن ارائه شده است.
معرفی Disassemblerها
Disassembler یک برنامهی کامپیوتری است که زبان ماشین را به زبان اسمبلی ترجمه میکند (عملیات معکوس نسبت به Assembler). لازم به ذکر است که Disassembler با Decompiler متفاوت است زیرا هدف Decompiler زبانی در سطح بالا است و نه یک زبان اسمبلی. فرمت Disassembly که خروجی Disassembler است، معمولا برای خواندن توسط انسانها تعیین میشود، نه برای ورودی یک Assembler و این امر باعث میشود که این ابزار اساسا مبتنی بر مهندسی معکوس باشد.
ابزارهای شناسایی و طبقهبندی
- Assemblyline: چهارچوبی مقیاسپذیر برای تجزیهوتحلیل فایل توزیعی است.
- BinaryAlert: یک AWS Pipeline متن باز و بدون سرور که براساس مجموعهای از قوانین YARA فایلهای آپلودشده را اسکن کرده و درموردشان هشدار میدهد.
- chkrootkit: ابزاری برای شناسایی Rootkit مربوط به Local Linux است.
- ClamAV: نوعی موتور آنتیویروس متن باز است0
- Detect:It:Easy : برنامهای برای تعیین نوع فایلها است.
- ExifTool: فرادادهی (Metadata) مربوط به خواندن، نوشتن و ویرایش فایل است.
- File Scanning Framework: راهکاری ماژولار و بازگشتی(Recursive) برای اسکن کردن فایلهاست.
- hashdeep: ابزاری برای محاسبهی Hash Digestها با الگوریتمهای مختلف به شمار می رود.
- Loki: نوعی اسکنر مبتنی بر Host برای IOCها است.
- Malfunction: فهرست اطلاعات یا کاتالوگ است و به مقایسهی بدافزار در سطح عملکرد میپردازد.
- MASTIFF: چهارچوب تجزیهوتحلیل استاتیک است.
- MultiScanner: چهارچوبی ماژولار است که برای اسکن و یا تجزیهوتحلیل فایل استفاده می شود.
- nsrllookup: ابزاری برای جستجوی Hashها در دیتابیس National Software Reference Library متعلق به NIST است.
- packerid: یک پلتفرم مبتنی بر پایتون است که جایگزینی برای PEiD محسوب میگردد.
- PEV: یک Multiplatform Toolkit برای کار کردن با فایلهای PE، که ابزارهایی با ویژگیهای متنوع را برای تجزیهوتحلیل باینریهای مشکوک فراهم مینماید.
- Rootkit Hunter: ابزاری است که Rootkitهای Linux را شناسایی مینماید.
- ssdeep: ابزاری که Hashهای مبهم (Fuzzy) را محاسبه میکند.
- TrID: شناسهی (Identifier) فایل.
- YARA: ابزاری برای تطابق الگو (Pattern Matching) برای تحلیلگران است.
- Yara rules generator : ابزاری که بر اساس مجموعهای از نمونههای بدافزار، قواعد Yara را ایجاد میکند. همچنین حاوی یک DB مناسب است که منجر به اجتناب از خطا در اعلام هشدار میگردد.
Dynamic Binary Instrumentation
در زیر به معرفی ابزارهای باینری داینامیک دقیق یا در اصطلاح Dynamic Binary Instrumentation میپردازیم.
ابزارهای رمزگشایی Mac
ابزار Mac Decrypting به شرح زیر می باشند:
- Cerbero Profiler
- AppEncryptor : ابزاری برای رمزگشایی
- Class:Dump : قابلیت استفاده از گزینهی Deprotect
- readmem
معرفی ابزارهای شبیه سازی (Emulator)
معرفی ابزارهای آنالیز مستندات
تجزیهوتحلیل داینامیک
این مبحث، توضیحاتِ مقدماتی در زمینهی تجزیهوتحلیل بدافزادها به صورت پویا میباشد و برای کسانی کاربرد دارد که در زمینهی آنالیز بدافزار (Malware) شروع به کار کردهاند و یا میخواهند از مشکلاتی که بدافزارها به جا می گذارند با ابزارهای مختلف مطلع شوند.
- ProcessHacker
- Process Explorer
- Process Monitor
- Autoruns
- Noriben
- API Monitor
- iNetSim
- Wireshark
- Fakenet
- Volatility
- Dumpit
- LiME
- Cuckoo
- Objective:See Utilities
- XCode Instruments : ابزارهایی برای مانیتورینگ فایلها و فرایندها.
- fs_usage : فراخوانهای سیستمی و مشکلات صفحات را که مرتبط با فعالیتهای Filesystem بصورت Realtime گزارش میدهد.
- Triton
معرفی ابزارهای XOR معکوس و دیگر روشهای سوء استفاده از کد
- Balbuzard : یک ابزار برای تجزیهوتحلیل بدافزار برای Obfuscation معکوس (XOR، ROLو …) و موارد دیگر.
- de4dot : .NET deobfuscator و unpacker
- ex_pe_xor و iheartxor : دو ابزار از سوی Alexander Hanel برای کار کردن با فایلهای رمزنگاری شدهی Single:Byte XOR.
- FLOSS : FireEye Labs Obfuscated String Solver از تکنیکهای تجزیهوتحلیل استاتیک پیشرفته استفاده میکند تا به طور خودکار Stringها را از باینریهای بدافزار جهت سوء استفاده خارج نماید.
- NoMoreXOR : حدس یک کلیدXOR 256 بایتی با استفاده از تجزیهوتحلیل فرکانس.
- PackerAttacker : یک استخراجکنندهی (Extractor) کد مخفی عمومی برای بدافزارهای ویندوز.
- Unpacker : بدافزار خودکارسازی شده برای بدافزارهای ویندوز مبتنی بر WinAppDbg.
- unxor : ابزاری برای حدس کلیدهای XOR با استفاده از حملات Known:Plaintext.
- VirtualDeobfuscator : ابزار مهندسی معکوس برای ساختارهای مجازیسازی.
- XORBruteForcer : یک اسکریپت پایتون جهت انجام حمله Brute Force روی کلیدهای Single:Byte XOR.
- XORSearch و XORStrings : دو برنامه از Didier Stevens برای یافتن دادههای XORed.
- xortool : حدس طول کلید XOR و همچنین خود کلید.
Debugging
در این لیست میتوان ابزاری برای Disassemblerها و Debuggerها و همچنین دیگر ابزار تجزیهوتحلیل استاتیک و داینامیک را مشاهده کرد.
ابزار Debugging بصورت پلتفرم
ابزار Debugging متعلق به ویندوز
- WinDbg
- ImmunityDebugger
- OllyDbg v1.10
- OllyDbg v2.01
- OllySnD
- Olly Shadow
- Olly CiMs
- Olly UST_2bg
- x64dbg
تنها ابزار Debugging متعلق به لینوکس
مهندسی معکوس
- angr : چهارچوبی جهت آنالیز باینری پلتفرم Agnostic که در Seclab متعلق به UCSB توسعه داده شده است.
- bamfdetect: اطلاعات را شناسایی کرده و آنها را از Botها و دیگر بدافزارها خارج مینماید.
- BAP : چهارچوبی برای تجزیهوتحلیل باینری چند پلتفرمی و متن باز در Cylab متعلق به CMU.
- BARF : چهارچوبی برای آنالیز باینری و مهندسی معکوس متن باز و Multiplatform.
- Binnavi : IDE تجزیهوتحلیل باینری برای مهندسی معکوس مبتنی بر Graph Visualization.
- Binary ninja : یک پلتفرم مهندسی معکوس که جایگزین IDA است.
- Binwalk : ابزار تجزیهوتحلیل Firmware.
- Bokken : GUI برای Pyew و Radare. (Mirror)
- Capstone : چهارچوب Disassembly برای تجزیهوتحلیل باینری و Reversing، با قابلیت پشتیبانی از بسیاری از معماریها.
- codebro : مرورگر کد مبتنی بر وب که برای فراهم کردن تجزیهوتحلیل ابتدایی کد از Clang استفاده میکند.
- Dynamic Executable Code Analysis Framework یا به اختصار DECAF : یک پلتفرم تجزیهوتحلیل باینری مبتنی بر QEMU است و DroidScope اکنون افزونهای برای DECAF است.
- dnSpy: ویراستار Net Assembly.، Decompiler و Debugger.
- Evan’s Debugger) EDB): یک Debugger ماژولار با یک Qt GUI.
- Fibratus: ابزاری برای کاوش و ردیابی هستهی ویندوز.
- FPort: در یک سیستم روی پورتهای TCP/IP و UDP گزارشگیری میکند و آنها را به برنامهی کاربردی مربوطه Map مینماید.
- GDB: Debugger مربوط به GNU.
- GEF: قابلیتهای پیشرفتهی GDB برای Exploiterها و مهندسان معکوس.
- hackers:grep: کاربردی برای جستجوی Stringها در فایلهای قابل اجرای PE شامل Importها، Exportها و نشانههای Debug.
- Hopper: یک Disassembler متعلق به macOS و لینوکس.
- IDA Pro: یک Disassembler و Debugger ویندوز، به همراه یک نسخهی رایگان.
- Immunity Debugger :یک Debugger برای تجزیهوتحلیل بدافزارها و موارد دیگر، به همراه یک Python API.
- : ILSpy این ابزار در واقع یک مرورگر و Decompiler مربوط به Net Assembly. متن باز میباشد.
- Kaitai Struct: درواقع یک DSL برای فرمتهای فایل، پروتکلهای شبکه، ساختارهای داده، مهندسی معکوس و Dissection، همراه با ایجاد کد برای ++C، #C، Java، JavaScript، Perl، PHP، Python و Ruby است.
- LIEF : یک Library بین پلتفرمی را برای مجزا نمودن، اصلاح کردن و جداسازی فرمتهای ELF، PE و MachO فراهم مینماید.
- ltrace: ابزاری برای تجزیهوتحلیل دینامیک برای فایلهای قابل اجرای لینوکس میباشد.
- objdump: بخشی از Binutilهای GNU برای تجزیهوتحلیل استاتیک باینریهای لینوکس.
- OllyDbg: یک Debugger در سطح Assembly برای فایلهای قابل اجرای ویندوز است.
- PANDA: پلتفرمی برای معماری: تجزیهوتحلیل دینامیک بصورت بی طرف.
- PEDA یا Python Exploit Development Assistance برای GDB، نمایشگری پیشرفته با دستورات اضافی.
- pestudio: اجرای تجزیهوتحلیل استاتیک برای فایلهای قابل اجرای ویندوز.
- Pharos: میتوان از چهارچوب Pharos برای تجزیهوتحلیل باینری برای اجرای تجزیهوتحلیل استاتیک خودکارسازیشدهی باینریها استفاده کرد.
- Plasma : یک Disassembler تعاملی برای x86، ARM، MIPS.
- (PPEE (Puppy : یک مرورگر فایل PE حرفهای برای Reverserها، پژوهشگران برافزار و کسانی که میخواهند فایلهای PE را به طور استاتیک و به صورت جزئیتر بررسی نمایند.
- Process Explorer : یک Task Manager پیشرفته برای ویندوز.
- Process Hacker : ابزاری که منابع سیستم را مانیتور میکند.
- Process Monitor : یک ابزار مانیتورینگ پیشرفته برای برنامههای ویندوز.
- PSTools : ابزار خط دستور ویندوز که به مدیریت و بررسی سیستمهای زنده کمک میکند.
- Pyew : ابزار پایتون برای تجزیهوتحلیل بدافزار.
- PyREBox :درواقع Sandbox مهندسی معکوس Scriptable متعلق به Python تولید شده توسط تیم Talos در Cisco.
- Radare2 : چهارچوب مهندسی معکوس با پشتیبانی از Debugger.
- RegShot : ابزار مقایسهی Registry که Snapshotها را مقایسه میکند.
- RetDec: یک Machine:Code Decompiler با قابلیت هدفگذاری مجدد (Retargetable) با یک سرویس Decompilation آنلاین و API که کاربر میتواند در ابزارهای خود از آن استفاده کند.
- ROPMEMU : چهارچوبی برای تجزیهوتحلیل، Dissect و Decompile کردن حملات Code:Reuse پیچیده.
- SMRT : Sublime Malware Research Tool، افزونهای است برای Sublime 3 با هدف کمک به تجزیهوتحلیل بدافزار.
- strace : تجزیهوتحلیل دینامیک برای فایلهای قابل اجرای لینوکس.
- Triton: یک چهارچوب تجزیهوتحلیل باینری دینامیک.
- Udis86: Library و ابزار Disassembler برای x86 و x64.
- Vivisect: ابزار Python برای تجزیهوتحلیل بدافزار.
- WinDbg:یک Debugger چندکاربردی برای سیستم عامل ویندوز، از آن برای Debug کردن برنامههای کاربردی User Mode، درایورهای دستگاه و Memory Dumpهای Kernel:Mode استفاده میشود.
- X64dbg : یک Debugger x64/x32 متن باز برای ویندوز است.
فرمت باینری و تجزیهوتحلیل باینری
Compound File Binary Format اصلیترین Container مورد استفاده توسط فرمتهای فایل مختلف مایکروسافت مانند مستندات Microsoft Office و بستههای Microsoft Installer میباشد.
- CFF Explorer
- Detect It Easy
- PeStudio
- PEiD
- MachoView
- nm : نمایش نشانهها
- file : اطلاعات فایل
- codesign : کاربرد اطلاعات Code Signing: dvvv filename
منابع تجزیهوتحلیل باینری
Decompiler
Decompiler برنامهای کامپیوتری است که یک فایل قابل اجرا را به عنوان ورودی میگیرد و سعی میکند یک سورس فایل سطح بالا بسازد که بتوان آن را به طور موفقیت آمیزی Recompile نمود. در نتیجه نقطهی مقابل Compiler محسوب میشود زیرا Compiler یک فایل منبع را میگیرد و آن را به فایل قابل اجرا تبدیل مینماید.
معرفی Decompiler پرکاربرد
معرفی Decompilerهای جاوا
Decompilerهای NET.
Decompilerهای زبان دلفی
Decompilerهای زبان پایتون
معرفی ابزار تجزیهوتحلیل Bytecode
معرفی ابزارهای Import Reconstruction
Sandboxها و اسکنرهای آنلاین
از ابزارهایی که در ادامه معرفی میشوند به عنوان اسکنرهای Multi:AV مبتنی بر وب و Sandboxهای بدافزار برای تجزیهوتحلیل خودکارسازیشده استفاده میگردد.
- io : یک Sandbox آنلاین است.
- AndroTotal : آنالیز آنلاین رایگان برای APKها در مقابل چندین برنامهی آنتیویروس موبایل.
- AVCaesar: اسکنر آنلاین lu و مخزن (Repository) بدافزار.
- Cryptam: تحلیل اسناد مشکوک Office.
- Cuckoo Sandbox: یک Sandbox متن باز و Self Hosted و سیستم تجزیهوتحلیل خودکارسازیشده.
- cuckoo:modified: نسخهی اصلاحشدهی Cuckoo Sandbox که تحت GPL منتشر شده است. به دلایل قانونی و صلاحدید مولف Merged Upstream نیست.
- cuckoo:modified:api: یک Python API که برای کنترل یک Sandbox که Cuckoo:Modified است مورد استفاده قرار میگیرد.
- DeepViz : تحلیلگر فایل چند فرمتی با طبقهبندی Machine:Learning.
- detux : یک Sandbox که توسعه داده شده است تا تجزیهوتحلیل ترافیک بدافزارهای لینوکس و IOCهای Capturing را انجام دهد.
- DRAKVUF : سیستم تجزیهوتحلیل بدافزار دینامیک.
- re : تقریبا هر بستهی Firmwareای را Unpack، اسکن و تجزیهوتحلیل میکند.
- HaboMalHunter : یک ابزار تجزیهوتحلیل بدافزار خودکارسازی شده برای فایلهای ELF لینوکس.
- Hybrid Analysis : ابزار تجزیهوتحلیل بدافزار آنلاین که VxSandbox قدرت موردنیاز آن را تامین میکند.
- IRMA : یک پلتفرم تجزیهوتحلیل Asynchronous و قابل سفارشیسازی برای فایلهای مشکوک.
- Joe Sandbox : تجزیهوتحلیل بدافزار بهصورت عمقی با Joe Sandbox.
- Jotti : اسکنر Multi:AV آنلاین رایگان.
- Limon :یک Sandboxی برای تحلیل بدافزار لینوکس.
- Malheur : ابزاری برای تجزیهوتحلیل خودکار رفتار بدافزار در Sandbox.
- malsub : یک چهارچوب Python RESTful API برای بدافزارهای آنلاین و خدمات تجزیهوتحلیل URL.
- Malware config : ابزاری برای Extract، Decode و نمایش آنلاین تنظیمات پیکربندی از بدافزارهای عادی.
- Malwr : تجزیهوتحلیل رایگان با یک Cuckoo Sandbox Instance آنلاین.
- com : اسکن کردن یک فایل، Hash یا آدرس IP برای بدافزار (رایگان).
- NetworkTotal: سرویسی که فایلهای pcap را آنالیز کرده و شناسایی سریع ویروسها، Wormها، Trojanها و انواع بدافزار را با استفاده از Suricata که با EmergingThreats Pro پیکربندی شده است تسهیل مینماید.
- PDF Examiner : ابزاری برای تجزیهوتحلیل فایلهای PDF مشکوک استفاده میشود.
- ProcDot : یک Toolkit گرافیکی برای تجزیهوتحلیل بدافزار است.
- Recomposer : یک اسکریپت کمککننده برای آپلود ایمن باینریها به سایتهای Sandbox به شمار میرود.
- Sand droid : سیستمی کامل و خودکار برای تجزیهوتحلیل برنامههای کاربردی اندروید است.
- SEE یا Sandboxed Execution Environment چهارچوبی است برای ساختن خودکارسازی تست در محیطهای ایمن است.
- VirusTotal – ابزاری برای تجزیهوتحلیل آنلاین رایگان نمونههای بدافزار و URLها.
- Zeltser’s List : یک Sandboxها و خدمات خودکارسازیشدهی رایگان که توسط Lenny Zeltser جمعآوری شدهاند.
معرفی تجزیهوتحلیل مستندات
بررسی ابزارهای Scripting
- IDA Python Src
- IDC Functions Doc
- Using IDAPython to Make your Life Easier
- Introduction to IDA Python
- The Beginner’s Guide to IDA Python
- IDA Plugin Contest
- onehawt IDA Plugin List
- pefile Python Libray
معرفی ابزارهای اندروید
بررسی منابع Yara
Artifactهای ویندوز
- AChoir : یک اسکریپت پاسخ رویداد، جهت جمعآوری Artifactهای ویندوز است.
- python:evt :کتابخانه متعلق به Python برای مجزا نمودن Event Logهای ویندوز.
- python:registry : کتابخانه متعلق به Python برای مجزا نمودن فایلهای Registry.
- RegRipper : ابزار تجزیهوتحلیل Registry مبتنی بر Plugin.
بررسی ابزارهای Storage و Workflow
- Aleph : سیستم Pipeline تجزیهوتحلیل بدافزار متن باز.
- CRITs : پژوهش مبتنی بر همکاری در مورد تهدیدات، یک بدافزار و مخزن (Repository) تهدید.
- FAME : چهارچوبی برای تجزیهوتحلیل بدافزار، دارای یک Pipeline که میتوان با استفاده از ماژولهای سفارشی آنها را گسترش داد. میتوان این ماژولها را زنجیروار به هم متصل کرد تا با یک دیگر تعامل داشته باشند تا تجزیهوتحلیل بصورت End-to-End اجرا گردد.
- Malwarehouse : ذخیرهسازی، Tag کردن و جستجوی بدافزار.
- Polichombr : یک پلتفرم تجزیهوتحلیل بدافزار که طراحی شده است تا به تحلیلگران کمک کند قابلیت همکاری بدافزارها را برعکس نمایند.
- stoQ : چهارچوبی برای تجزیهوتحلیل محتوای توزیعشده با پشتیبانی گسترده از افزونهها، از ورودی تا خروجی و تمام موارد بین آنها.
- Viper : چهارچوبی برای مدیریت و تجزیهوتحلیل باینری برای تحلیلگران و پژوهشگران.
ابزارهای جمع آوری نمونههایی از بدافزار
- Clean MX : دیتابیس Realtime از بدافزارها و دامینهای مخرب.
- Contagio: مجموعهای از نمونهها و تجزیهوتحلیلهای اخیر مربوط به بدافزارها.
- Exploit Database : نمونههای Exploit و Shellcode.
- Malshare : مجموعه ای بزرگ از بدافزارهایی که فعالانه از سایتهای مخرب گرفته شدهاند.
- MalwareDB : مجموعه ای از نمونههای بدافزار.
- Open Malware Project : اطلاعات و دانلودهای نمونه Offensive Computing.
- Ragpicker : افزونهای مبتنی بر Crawler بدافزار همراه با قابلیتهای Pre:Analysis و گزارشگیری.
- theZoo : نمونههای بدافزار برای تحلیلگران.
- ViruSign : دیتابیس بدافزاری که توسط بسیاری از برنامههای بدافزار به غیر از ClamAV شناسایی شده است.
- VirusShare : مخزن بدافزار، نیازمند ثبتنام.
- VX Vault : مجموعهای فعال از نمونههای بدافزار
- Zeltser’s Sources : لیستی از منابع نمونههای بدافزار که توسط Lenny Zeltser جمعآوری شده است.
- Zeus Source Code : منبع Zeus trojan که در سال 2011 فاش شد.
معرفی دورههای آموزشی مهندسی معکوس
- Lenas Reversing for Newbies
- Open Security Training
- Fu’s Malware Analysis
- Binary Auditing Course
- TiGa’s Video Tutorials
- Legend of Random
- Modern Binary Exploitation
- RPISEC Malware Course
- SANS FOR 610 GREM
- REcon Training
- Blackhat Training
- Offensive Security
- Corelan Training
- Offensive and Defensive Android Reversing
بررسی دامینها و آدرسهای IP
- com : سرویس IP blacklist اجتماعمحور.
- boomerang : ابزاری که برای ثبت مداوم و ایمن از منابع وب شبکه طراحی شده است.
- Cymon : ردیاب هوش تهدیدات، همراه با جستجوی IP، دامین و Hash.
- me : ابزاری نیازمند تنها یک کلیک، با هدف بازیابی Metadata به بیشترین حد ممکن برای یک سایت و همچنین با هدف ارزیابی مناسب آن.
- dnstwist : موتور جایگشت (Permutation) نام دامین برای شناسایی Typo Squatting، Phishing و Corporate Espionage.
- IPinfo : جمعآوری اطلاعات درمورد یک IP یا دامین با جستجو در منابع آنلاین.
- Machinae : ابزار OSINT برای جمعآوری اطلاعات درمورد URLها، IPها و یا Hashها. مشابه Automator.
- MaltegoVT : دگرگونی Maltego برای VirusTotal API. تحقیق در مورد دامین و IP و همچنین جستجو برای File Hashها و گزارشات Scan را ممکن میسازد.
- Multi rbl : چندین DNS Blacklist و Forward Confirmed Reverse DNS برای بیش از 300 RBL.
- NormShield Services : خدمات API رایگان برای شناسایی دامینهای Phishing احتمالی، آدرسهای IP که Blacklist شدهاند و حسابهایی که دچار نقض امنیتی گشتهاند.
- SpamCop : یک Spam Block List مبتنی بر IP است.
- SpamHaus : یک Block List مبتنی بر دامینها و IPها است.
- Sucuri SiteCheck : بدافزار وبسایت رایگان و اسکنر امنیتی.
- Talos Intelligence : ابزاری برای جستجو برای صاحب IP، دامین و شبکه. (در گذشته SenderBase بوده است.)
- TekDefense Automater : ابزار OSINT برای جمعآوری اطلاعات درمورد URLها، IPها و یا Hashها.
- URLQuery : اسکنر URL رایگان.
- Whois : ابزاری برای جستجوی Whois آنلاین رایگان DomainTools.
- Zeltser’s List : ابزار آنلاین رایگان برای تحقیق در مورد وبسایتهای مخرب، جمعآوری شده توسط Lenny Zeltser
- ZScalar Zulu : تحلیلگر ریسک Zulu URL.
اسناد و Shellcode
- AnalyzePDF : ابزاری برای تحلیل PDFها و سعی بر تعیین اینکه آیا مخرب هستند یا خیر.
- box:js : ابزاری برای مطالعهی بدافزار JavaScript، با پشتیبانی از JScript و WScript و شبیهسازی ActiveX.
- diStorm :یک Disassembler برای تحلیل Shellcode مخرب است.
- JS Beautifier :یک Unpacking و Deobfuscation برای جاوا اسکریپت است.
- JS Deobfuscator :یک Deobfuscate کنندهی Javascript ساده است که از Eval یا write برای پنهان کردن کد خود استفاده میکند.
- Libemu : ابزار برای شبیهسازی x86 Shellcode است.
- Malpdfobj : جدا کنندهی PDFهای مخرب در یک نمایش از JSON.
- OfficeMalScanner : اسکن کردن ردهای مخرب در اسناد MS Office.
- olevba : اسکریپتی برای مجزا نمودن اسناد OLE و OpenXML و Extract کردن اطلاعات مفید.
- Origami PDF : ابزاری برای تحلیل PDFهای مخرب و موارد بیشتر.
- PDF X:Ray Lite : ابزاری برای تحلیل PDF، نسخهی Backend:Free از PDF X:RAY.
- peepdf : ابزار Python برای کاوش در PDFهایی که احتمال مخرب بودنشان وجود دارد.
- QuickSand : QuickSand یک چهارچوب Compact C است برای تحلیل اسناد مشکوک بدافزار با هدف شناسایی Exploitها در Streamهایی از Encodingهای متفاوت و همچنین با هدف پیدا کردن و Extract کردن فایلهای قابل اجرای کارگزاریشده.
- Spidermonkey : موتور JavaScript متعلق به Mozilla، برای debug کردن JS مخرب.
معرفی کتابها در زمینه معندسی معکوس
- The IDA Pro Book
- Reverse Engineering for Beginners
- The Art of Assembly Language
- Practical Reverse Engineering
- Reversing: Secrets of Reverse Engineering
- Practical Malware Analysis
- Malware Analyst’s Cookbook
- Gray Hat Hacking
- The Art of Memory Forensics
- Hacking: The Art of Exploitation
- Fuzzing for Software Security
- Art of Software Security Assessment
- The Antivirus Hacker’s Handbook
- The Rootkit Arsenal
- Windows Internals Part 1Part 2
- Inside Windows Debugging
- iOS Reverse Engineering
ابزار هوش تهدیدات متن باز
- AbuseHelper : چهارچوبی متن باز برای دریافت و توزیع دوبارهی Feedهای مزاحم و هوش تهدیدات.
- AlienVault Open Threat Exchange : ابزاری برای به اشتراک گذاری و همکاری در توسعهی هوش تهدیدات.
- Combine : ابزاری برای جمعآوری شاخصهای هوش تهدیدات از منابعی که به طور عمومی در دسترس میباشند.
- Fileintel : ابزاری برای به دست آوردن اطلاعات به ازای File Hash.
- Hostintel : ابزاری برای به دست آوردن اطلاعات به ازای Host.
- IntelMQ : ابزاری برای CERTها به منظور پردازش دادههای مربوط به رخدادها با استفاده از یک Message Queue.
- OC Editor : ویراستاری رایگان برای فایلهای XML IOC.
- ioc_writer : کتابخانه متعلق به پایتون برای کار کردن با Objectهای OpenIOC از Mandiant.
- Massive Octo Spice : در گذشته به عنوان Collective Intelligence Framework یا به اختصار CIF شناخته میشد و در واقع IOCها را از لیستهای مختلف کنار هم جمع میکند.
- Pulsedive : یک پلتفرم هوش تهدیدات رایگان و مبتنی بر جامعه که IOCها را از Feedهای متن باز جمعآوری میکند.
- PyIOCe : یک ویراستار OpenIOC متعلق به زبان پایتون است.
- threataggregator : تهدیدات امنیتی را از منابع مختلف، شامل منابعی که در ادامه در بخش «منابع دیگر» فهرست شدهاند، کنار هم جمع میکند.
- ThreatCrowd : یک موتور جستجو برای تهدیدات، همراه با مصورسازی گرافیکی است.
- ThreatTracker : یک اسکریپت مبتنی بر زبان پایتون است که برای ایجاد و مانیتور کردن هشدارها براساس IOCهایی که توسط مجموعهی از Google Custom Search Engines، ایندکس شدهاند.
- TIQ:test : مصورسازی داده و تجزیهوتحلیل آماری Feedهای هوش تهدیدات.
معرفی منابع دیگر
- APT Notes : مجموعهای از مقالات و یادداشتهای مربوط به تهدیدات مداوم پیشرفته.
- File Formats posters : مصورسازی خوب از فرمتهای فایلی که عموما مورد استفاده قرار میگیرند (از جمله PE و ELF).
- Honeynet Project : ابزار Honeypot، مقالات و دیگر منابع.
- Kernel Mode : انجمن فعال مختص به تجزیهوتحلیل بدافزار و توسعهی Kernel.
- Malicious Software : بلاگ و منابع Malware جمعآوریشده توسط Lenny Zeltser.
- Malware Analysis Search : موتور جستجوی سفارشی Google از Corey Harrell.
- Malware Analysis Tutorials : دورههای آموزشی تجزیهوتحلیل بدافزار توسط Xiang Fu، منبعی عالی برای یادگیری تجزیهوتحلیل کاربردی بدافزار.
- Malware Samples and Traffic : این بلاگ روی ترافیک شبکه مرتبط آلودگیهای بدافزار متمرکز است.
- Practical Malware Analysis Starter Kit : این بسته حاوی اکثر ارجاعات نرمافزاری در کتاب Practical Malware Analysis میباشد.
- Windows Registry specification : مشخصات فرمت فایل Registry ویندوز.