恶意软件是指由网络犯罪分子设计的恶意程序，可通过创建后门入口来获得对计算设备的访问权，从而窃取个人信息、机密数据，实施对计算机系统的破坏。为了更好地防护恶意软件，避免由恶意软件造成的危害，必须对恶意软件进行分析，以了解恶意软件的类型、性质和攻击方法。

恶意软件分析工作主要包括在隔离环境下分析木马、病毒、rootkit、勒索软件或间谍软件等恶意软件家族的样本，运用各种方法，根据其行为了解攻击者动机、目的及恶意软件类型和功能等，并创建规则来实施相应的缓解措施。当我们分析受感染的机器或文件时，我们的目标主要包括：

• 识别受感染的文件，检测计算机设备和网络系统中可能存在的恶意软件；

• 了解可疑恶意软件的功能；

• 全面评估和管理恶意软件可能造成的损害；

• 对恶意软件进行指标分析，为后续检测和防护产品研发创建正确的规则措施。

有效的恶意软件分析可以帮助安全团队快速检测并防止攻击者实施破坏活动。本文将重点介绍目前常见的恶意软件分析方法及相关工具。

•Hybrid-analysis——使用独特的混合分析技术，检测和分析未知威胁。

•Virustotal.com——该免费服务可以分析可疑的文件和URL。

•BinText——该文件文本扫描器/提取器可帮助查找深藏在二进制文件中的字符串。

•Dependency Walker——该免费程序可列出便携式可执行文件的导入和导出模块。

•IDA——该程序可以将机器语言转换成汇编语言。

•Md5deep——这套跨平台工具可计算和审核输入文件的散列（Hash）。

•PEiD——可针对便携式可执行（PE）文件检测大多数常见的打包器、加密器和编译器等。

•Exeinfo PE——该软件可查看任何可执行文件的各种信息。

•RDG Packer——可检测打包器、加密器和编译器等。

•D4dot——该工具擅长将打包和混淆的程序集恢复到几乎原始的程序集。

•PEview——可快速轻松地查看32位PE文件和组件对象文件格式（COFF）的结构和内容。

•Procmon——这款先进的监控工具可显示文件系统、注册表和进程/线程的实时活动。

•Process Explorer——这是一款面向Windows操作系统的系统资源监控工具。

•Anubis——该动态恶意软件分析平台可在受控环境下执行提交的二进制代码。

•Comodo Instant Malware Analysis——比较容易使用和理解的在线沙盒服务。

•Process MonitorRegshot——这款流行的注册表监控工具可显示文件系统、注册表和进程/线程的实时活动。

•ApateDNS——该工具通过易于使用的GUI来控制DNS响应。

•OllyDbg——一款侧重二进制代码分析的x86调试器。

•Regshot——这款开源注册表比较工具可迅速获取注册表的快照，并进行比对。

•Netcat——该计算机网络实用工具使用TCP或UDP协议在网络中读取数据。

•Wireshark——该免费开源数据包分析器可用于网络故障排查、分析、软件和通信协议开发等。

•WinDbg——Windows系统的内核调试器。

•Muninn ——使用Volatility自动执行部分分析的脚本。

•DAMM ——基于Volatility，针对内存中恶意软件的差异分析。

•FindAES ——查找内存中的AES加密密钥。

•Volatility ——先进的内存取证框架。

•YARA——分析员的模式匹配工具。

•Yara规则生成器——根据一组恶意软件样本生成YARA规则。

•File Scanning Framework——模块化递归式文件扫描解决方案。

•hash deep——使用多种算法计算摘要散列。

•Loki——基于主机的扫描器，扫描攻陷指标（IOC）。

•Malfunction——在函数层面对恶意软件进行登记和比较。

•MASTIFF——静态分析框架。

•Tcpdump——收集网络流量。

•tcpick——从网络流量中跟踪和重组TCP数据流。

•tcpxtract——从网络流量中提取文件。

•Wireshark——网络流量分析工具。

•CapTipper——恶意HTTP流量管理器。

•Chopshop——协议分析和解码框架。

•CloudShark——基于Web的工具，用于分析数据包和检测恶意软件流量。

•obj dump——GNU Binutils 的一部分，用于Linux二进制代码的静态分析。

•OllyDbg——Windows可执行文件的汇编级调试器。

•FPort——报告实时系统中敞开的TCP/IP和UDP端口，并将它们映射到对应的应用程序。

•GDB——GNU调试器。

•IDA Pro——Windows反汇编器和调试器，有免费评估版。

•Immunity Debugger——用于分析恶意软件的调试器，附有Python API。

•Firebug——用于Web开发的Firefox扩展件。

•Java Decompiler——反编译和检查Java应用程序。

•jsunpack-n——模拟浏览器功能的javascript解包器。

•Krakatau——Java 反编译器、汇编器和反汇编器。

•Malzilla——分析恶意网页。

•firmware.re——可以拆解、扫描和分析几乎任何固件包。

•Hybrid Analysis——基于VxSandbox的在线恶意软件分析工具。

•IRMA——用于分析可疑文件的异步可定制分析平台。

•Cuckoo Sandbox——开源自托管的沙盒和自动分析系统。

•cuckoo-modified——使用GPL许可证的Cuckoo Sandbox的修改版。

•PDF Examiner——分析可疑的PDF文件。

•ProcDot——图形化恶意软件分析工具包。

•Recomposer——将二进制代码安全地上传到沙盒的帮助脚本。

•Sand droid——自动完整的安卓应用程序分析系统。

•SpamCop——基于IP的垃圾邮件阻止列表。

•SpamHaus——基于网域和IP的阻止列表。

•Sucuri SiteCheck——免费的网站恶意软件和安全扫描器。

•TekDefense Automatic——用于收集有关URL、IP或散列的OSINT工具。

•URLQuery——免费的URL扫描器。

•IPinfo——通过搜索在线资源，收集有关IP或网域的信息。

•Whois——免费在线whois搜索。

•Mail checker——跨语言的临时电子邮件检测库。

好文推荐