基于LLVM的可重定向机器代码反编译器-RetDec
https://github.com/avast/retdec LLVM IR 指令序列 LLVM IR 是 LLVM Intermediate Representation(中间形似),它是一种 low-level languange,是一个像RISC的指令集 LLVM是一组编译器和工具链技术,可用于开发任何编程语言的前端和任何指令集架构的后端。LLVM……
内核/用户仿真框架-Speakeasy
1 基本简介 说明:https://www.fireeye.com/blog/threat-research/2020/08/emulation-of-malicious-shellcode-with-speakeasy.html github地址:https://github.com/mandiant/speakeasy Speakeasy 是一种便携式、……
IDA插件:IDAtropy
IDAtropy概述 利用 idapython 和 matplotlib 的强大功能生成熵和直方图的图表。 github地址:https://github.com/danigargu/IDAtropy IDAtropy使用 安装插件后,会弹出配置窗口,进行配置 block size=256 1024 4096,step size = 4的三种对比图 ……
基于数据科学恶意代码分析 第五章 共享代码分析
通过揭示与新的恶意软件样本较为相似的之前分析过的老样本,从而揭示它们的共享代码,共享代码分析允许你复用以前的分析结果对新的恶意软件进行分析,这样就不用从头开始分析。了解此前看到的恶意软件来源信息,也可以帮助找出可能部署恶意软件的人。 共享代码分析,也称为相似性分析,通过估计它们共享的预编译源代码的百分比来比较两个恶意软件样本的过程。它不同于共享属性分析,共享……
基于数据科学恶意代码分析 第四章 利用恶意软件网络识别攻击活动
1. 节点和边 网络是连接对象(节点)的集合。这些节点之间的连接称为边。 当使用网络来分析恶意软件时,我们可以将每个单独的恶意软件文件定义为节点,并将感兴趣的关系(如共享代码或网络行为)定义为边。 相似的恶意软件文件共享边,因此当我们应用力导向网络( force-directed network)时,它们就会聚集在一-起。 或者,我们可以将恶意软件样本和属性……
基于数据科学恶意代码分析 第0章
官方网站:https://www.malwaredatascience.com/home 书籍代码和数据:https://www.malwaredatascience.com/code-and-data 书籍虚拟机:https://www.malwaredatascience.com/ubuntu-virtual-machine 数据科学应用于安全领域 例如……
x64dbg攻略:插件说明
Scylla(脱壳与导入表修复) 可以脱壳和修复导入表 xAnalyzer(代码分析) https://github.com/ThunderCls/xAnalyzer 该插件对调试程序的API函数调用进行检测,自动添加函数定义,参数和数据类型以及其他补充信息,安装以后可以让x64dbg与OllyDbg的使用体验更接近。 SwissArmyKnife(导入Ma……
内存取证框架:volatility3
GitHub地址:https://github.com/volatilityfoundation/volatility3 教程:https://volatility3.readthedocs.io/en/latest/ ……
内存取证框架:volatility2.6.1
GitHub地址:https://github.com/volatilityfoundation/volatility distorm3网盘地址: 链接:https://pan.baidu.com/s/1xyZ4bnwNylv1tzsm79zrkg 提取码:cnmd 1 windows下安装 1.1 缺少Crypto.Hash pip2 install p……