wiki_MalwareSec.md

应急响应溯源

• https://github.com/guardsight/gsvsoc_cirt-playbook-battle-cards //网络安全应急响应事件卡
• https://www.secrss.com/articles/10986 //一次攻防实战演习复盘总结。奇安信
• https://github.com/theLSA/hack-er-tools //应急响应工具包。G:/theLSA/emergency-response-checklist //应急响应指南;G:/Bypass007/Emergency-Response-Notes;G:/tide-emergency/yingji;P:/应急响应知识手册-360;--
• https://mp.weixin.qq.com/s/suhDsP41P55UpGuIDE7K5Q //公众号：一张图片引发一次完整的应急响应。
• https://github.com/tide-emergency/yingji //Py3。查看主机状态/启动项/历史命令/用户特权/文件修改/异常IP等
• https://github.com/ppabc/cc_iptables //收集处理DDOS、CC攻击黑名单各类脚本，包括NGINX日志中的CC攻击IP封禁处理。
• https://github.com/EtherDream/anti-portscan //基于iptables的端口伪装与封禁。
• https://github.com/al0ne/LinuxCheck //Bash。Linux信息收集/应急响应/常见后门检测脚本。

应急日志分析

• https://github.com/grafana/grafana //TypeScript,Go。用于可视化大型测量数据的开源程序，提供创建、共享、浏览数据方法与众多功能插件。greatjob。29.5k。
• https://github.com/Cyb3rWard0g/HELK //Jupyter Notebooks。基于ELK(Elasticsearch, Logstash, Kibana)的日志威胁分析。1K。G:/OTRF/OSSEM;--
• https://developer.ibm.com/qradar/ce/ //IBM QRadar 轻量级日志和流量分析，要求10+250配置。
• http://www.finderweb.net/ //主机、日志、文件管理系统。
• https://github.com/woj-ciech/Danger-zone //关域名、IP、电子邮件地址关联数据图像可视化输出。

应急Web日志分析

• https://wangzhan.qianxin.com/activity/xingtu/ //360星图。P:/LogForensics;W:VirusTotal Graph;--
• http://www.awstats.org/ //开源日志分析系统，将流媒体、ftp、邮件服务器信息图像可视化。
• https://www.goaccess.cc/ //C。全web日志格式类型数据图像可视化分析。
• https://logstalgia.io/ //C++。跨平台数据图像可视化日志分析。
• https://gitee.com/524831546/xlog/ //Go。web访问日志分析工具,可以分析nginx、resin ,tomcat,apache访问日志，然后对访问的ip，流量，响应时间，状态码，URI，浏览器，爬虫进行详细全面的分析展示。
• https://github.com/JeffXue/web-log-parser //Py。web日志分析工具。
• https://github.com/zhanghaoyil/Hawk-I //Py。基于无监督机器学习算法从Web日志中自动提取攻击Payload。

应急主机日志分析

• https://github.com/JPCERTCC/LogonTracer //JS,Py。日本计算机应急团队根据Win登陆记录日志，将关联数据图像可视化，来分析恶意登陆行为。Github:/Releasel0ck/NetTracer;--
• https://github.com/baronpan/SysmonHunter //JS。针对att&ck对sysmon日志进行分析可视化展示。G:/jpcertcc/sysmonsearch;--
• http://www.nirsoft.net/utils/computer_activity_view.html/ //LastActivityView是一款电脑操作记录查看器，直接调用系统日志，显示安装软件、系统启动、关机、网络连接、执行exe 的发生时间和路径。
• https://github.com/olafhartong/sysmon-cheatsheet //Sysmon操作手册，各id属性含义
• https://github.com/olafhartong/sysmon-modular/ //Sysmon配置文件，file/dns/att&ck/系统进程/图片 等分类为归置。G:/SwiftOnSecurity/sysmon-config;--

病毒后门分析

• https://github.com/JPCERTCC/aa-tools //Py。Artifact analysis tools by JPCERT/CC Analysis Center。cobaltstrike恶意程序；apt17；分析溯源脚本。
• https://github.com/ohjeongwook/ShellCodeEmulator //Py。基于Unicorn framework（cpu仿真框架）的Windows shellcode分析工具。

勒索病毒

• https://github.com/jiansiting/Decryption-Tools //勒索病毒解决方案汇总
• https://www.nomoreransom.org //在线勒索病毒解决方案

恶意代码检测

• 获取样本 -> 提取样本特征 -> 更新病毒库 - > 查杀病毒
• https://blog.csdn.net/Eastmount/category_9183790.html //网络安全自学篇-杨秀璋。testjob。G:/eastmountyxz/NetworkSecuritySelf-study;G:/eastmountyxz/Software-Security-Course;/eastmountyxz/Windows-Hacker-Exp;--

myMalwareSample

• https://github.com/gh0stkey/avList //杀软进程对应杀软名称
• https://github.com/PwnDexter/SharpEDRChecker //杀毒软件进程列表监控。G:/PwnDexter/Invoke-EDRChecker;--

恶意样本

• https://github.com/open-power-workgroup/Hospital //全国莆田系医院名单
• https://paper.seebug.org/421 //常见软件合集与恶意软件分析。G:/sapphirex00/Threat-Hunting;G:/ytisf/theZoo;G:/mstfknn/malware-sample-library;--
• https://bazaar.abuse.ch/browse/ //MalwareBazaar的恶意软件样本数据库
• https://www.malware-traffic-analysis.net/ //恶意软件样本。W:dasmalwerk.eu/;W:lolbas-project.github.io/;W:connect-trojan.net;--
• https://github.com/robbyFux/Ragpicker //恶意软件信息爬取汇总分析。W:/phage-nz/ph0neutria;--
• https://github.com/JR0driguezB/malware_configs //常见恶意配置文件
• https://github.com/LOLBAS-Project/LOLBAS //Windows下常见命令执行二进制文件样本。
• https://github.com/chenerlich/FCL //恶意代码使用的命令行收集

在线检测

• https://app.any.run/ //可视化恶意文件检测、在线恶意文件样本。W:joesandbox.com;--
• https://habo.qq.com //在线恶意文件检测
• http://r.virscan.org/ //在线杀毒
• https://iotsec.tencent.com/ //在线IoT固件安全自动化检测系统

移动app在线检测

• https://www.appscan.io //盘古app安全移动软件在线检测
• http://safe.ijiami.cn //爱加密app安全移动软件在线检测
• http://appscan.360.cn //360显微镜
• https://service.security.tencent.com/kingkong //腾讯金刚app安全移动软件在线检测

在线恶意文件检测

• https://www.hybrid-analysis.com/ //恶意样本检测，可不与其它网站共享样本。类virustotal。

MalwareSample //恶意样本数据

以下来自于公众号：熊猫正正 安全分析与研究 （偷懒就不排版了） 如果你身在安全公司，有客户端类的安全产品，一般从下几个渠道可以获取： (1)一些客户端收集用户的样本，然后保存到样本TOP库，从黑灰库中找可疑样本进行分析，说不定就可以找到惊喜 (2)用户反馈的一些样本，或你帮用户解决安全问题自己从用户电脑上收集回来的样本 (3)有些公司会有一些安全论坛，用户也会上传一些样本到论坛上，定期去查看分析 (4)如果公司有VT帐号，可以从VT上去下载相关的样本 (5)可以从内部的一些监控系统爬虫系统中找到新的样本或变种样本 如果没有客户端产品，一般都是从客户反馈收集的样本进行分析处理，或者从一些开源的样本下载网站，以及与其它公司购买交换而来 如果你不在安全公司工作，可以从以下几个渠道获取： (1)国外样本分享网站，如： http://contagiodump.blogspot.com (2)Github上去搜malware，如：https://github.com/rshipp/awesome-malware-analysis （你可以找到很多想要的）
(3)加入Google Malware邮件组或一些TG组，里面会有人分享样本，如：mobilemalware@googlegroups.com
(4)关注一些国外安全研究人员的Twitter，每天都会分享很多新的变种样本
(5)关注一些国外大的安全公司的博客，如： http://researchcenter.paloaltonetworks.com https://www.fireeye.com/blog.html http://www.symantec.com/connect/blogs https://blog.kaspersky.com http://cybersecurityminute.com/security-blogs/source/Trend+Micro+Blog/ 这上面会定期更新一些恶意样本的分析报告，有时候会放样本，没有样本可以通过HASH自己Google去找 (6)国内一些安全论坛以及安全媒体，也会有很多人上传一些样本，如看雪，卡饭，吾爱破解，FreeBuf等 (7)国内一些安全公司的论坛，不知道还有几个在持续运营了。。。。如：360杀毒论坛，金山杀毒论坛，电脑管家论坛，瑞星杀毒论坛等 (8)如果你有钱任性，完全可以自己去买个VT帐号，里面的样本你这辈子都分析不完 下面给大家分享一些在线或开源沙箱以及一些流行样本下载链接，大部分的在线沙箱都支持下载样本，不过有些是免费的，有些需要注册，有些是收费的，有些需要积分等等 1.theZoo https://github.com/ytisf/theZoo 2.contagio http://contagiodump.blogspot.com/ The password scheme is infected666 followed by the last character before the zip extension. e.g abc.zip will have the password infected666c. 3.Hybrid Analysis https://www.hybrid-analysis.com/ 4.AVCaesar https://avcaesar.malware.lu/ 5.Das Malwerk https://dasmalwerk.eu/ 6.KernelMode.info https://www.kernelmode.info/forum/viewforum.php?f=16 7.MalShare https://malshare.com/ 8.VirusBay https://beta.virusbay.io/ 9.Virusign http://www.virusign.com/ 10.VirusShare https://virusshare.com/ 11.Malwarebytes Research Center https://forums.malwarebytes.com/forum/44-research-center/ 12.Mobile Malware (Google Group) https://groups.google.com/forum/#!forum/mobilemalware 13.SARVAM http://sarvam.ece.ucsb.edu/recent 14.Malc0de http://malc0de.com/database/ 15.VX Vault http://vxvault.net/ViriList.php 16.ThreatBook https://s.threatbook.cn/ 17.Intezer Analyze https://analyze.intezer.com 18.CAPE Sandbox https://cape.contextis.com/ 21.VMRay https://www.vmray.com/ 23.Linux开源沙箱 https://github.com/monnappa22/Limon 24.anlyz https://sandbox.anlyz.io 25.cryptam http://www.cryptam.com 27.detux https://github.com/detuxsandbox/detux/ 28.drakvuf https://drakvuf.com/ 29.threatbook 30.firmware http://firmware.re/ 31.virusscan https://virusscan.jotti.org/en 32.malheur https://github.com/rieck/malheur 33.malwr https://malwr.com/ Android Samples 1.Koodous https://koodous.com/ 2.AndroMalShare http://sanddroid.xjtu.edu.cn:8080/ 3.Android-Malware(Github) https://github.com/ashishb/android-malware 4.App Sandbox https://app.sndbox.com 5.AndroidMalware_2019 https://github.com/sk3ptre/AndroidMalware_2019 OSX Samples 1.Objective-See Mac Malware https://objective-see.com/malware.html 2.Manwe MAC Malware Samples https://macmalware.manwe.io/ Linux Samples 1.Linux Sandbox https://linux.huntingmalware.com/analysis/ 2.Detux-The Linux Sandbox https://github.com/detuxsandbox/detux https://detux.org/index.php

恶意样本下载网站

• https://github.com/InQuest/malware-samples
• https://malwr.com/
• http://camas.comodo.com/
• https://www.reverse.it/
• http://threatexpert.com/submit.aspx
• http://vicheck.ca/
• https://virusshare.com/
• https://malshare.com/
• https://github.com/ytisf/theZoo

动态恶意文件检测

• regshot：https://sourceforge.net/projects/regshot/
• ProcDot：https://www.cert.at/downloads/software/procdot_en.html
• windump：https://www.winpcap.org/windump/
• Graphviz：www.graphviz.org/Download.php
• Gapture-BAT:https://www.honeynet.org/node/315
• fakenet:https://sourceforge.net/projects/fakenet/