八大開源惡意軟件分析工具

惡意軟件分析主要分為兩大類：靜態和動態。靜態分析側重于代碼分析，不僅可以了解惡意軟件能做什么，還可以揭示其開發者的未來意圖（例如，當前未完成的功能）。動態分析主要查看惡意軟件在運行時的行為（通常是在虛擬沙箱中）。動態分析能夠揭示惡意軟件的行為及其使用的檢測繞過技術。

安全分析師使用惡意軟件分析工具可完成以下任務：

• 識別隱藏的危害指標(IOC)。
• 提高IOC通知和警告的有效性。
• 根據嚴重程度對事件進行分類。

以下我們整理了八個比較流行的開源惡意軟件分析工具，并附上了下載地址。

一、capa：自動識別惡意軟件功能

capa可分析PE、ELF、NET模塊或shellcode等可執行文件，分析惡意軟件的功能。例如，該文件是否后門、是否安裝服務或依賴HTTP進行通信。

二、FLARE混淆字符串解析器

FLARE混淆字符串解析器(FLOSS)使用高級靜態分析技術自動對惡意軟件二進制文件中的字符串進行去混淆處理。你可以像使用strings.exe一樣使用它來增強對未知二進制文件的基本靜態分析。

三、Ghidra軟件逆向工程框架

Ghidra是由美國國家安全局研究所開發和維護的軟件逆向工程(SRE)框架。該框架包括一套功能齊全的高端軟件分析工具，使用戶能夠在包括Windows、macOS和Linux在內的各種平臺上分析編譯代碼。功能包括反匯編、匯編、反編譯、繪圖和腳本，以及數百個其他功能。

四、Malcom：惡意軟件通信分析器

Malcom使用網絡流量圖示來分析系統的網絡通信，并將它們與已知的惡意軟件源進行交叉引用。這在分析某些惡意軟件樣本如何嘗試與外界通信時非常方便。

五、移動安全框架(MobSF)

MobSF是一種自動化、一體化的移動應用程序滲透測試、惡意軟件分析和安全評估框架(支持Android/iOS/Windows)，能夠執行靜態和動態分析。MobSF支持移動應用程序二進制文件（APK、XAPK、IPA和APPX）以及壓縮源代碼，并提供REST API與CI/CD或DevSecOps管道無縫集成。動態分析器可執行運行時安全評估和交互式儀器測試。

六、Pafish：測試工具

Pafish使用與惡意軟件家族相同的方式來檢測虛擬機和惡意軟件分析環境。該項目是免費和開源的，所有反分析技術的代碼都是公開的。

七、Radare2：類Unix的Libre逆向工程框架

Radare項目最初是一個簡單的命令行十六進制編輯器，專注于取證。今天，Radare2是一個功能強大的低級命令行工具，支持腳本。它可以在本地或通過遠程gdb服務器編輯本地硬盤驅動器上的文件、查看內核內存和調試程序。Radare2廣泛的架構支持允許您分析、模擬、調試、修改和反匯編任何二進制文件。

八、theZoo：實時惡意軟件存儲庫

theZoo是實時惡意軟件的存儲庫。該項目旨在提供一種快速簡便的方法，以有組織的方式檢索惡意軟件樣本和源代碼，以期促進惡意軟件研究。