Outils d'utilisateurs
outils_malware
Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
|
outils_malware [2017/11/12 10:55] Xylitol [Dumping] |
outils_malware [2019/10/22 12:16] (Version actuelle) M0N5T3R |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | **Par soucis de redondance au niveau des outils pouvant être utile ici, nous vous conseillons de jeter un œil également aux //[[outils_binaire|outils recommandés pour l'analyse de binaire]]//.** | ||
| + | |||
| + | |||
| ====== Monitoring ====== | ====== Monitoring ====== | ||
| Permet de surveiller et de monitorer l'environnement durant l'exécution d'un programme. Très utile dans le cas d'analyse de code malveillants. | Permet de surveiller et de monitorer l'environnement durant l'exécution d'un programme. Très utile dans le cas d'analyse de code malveillants. | ||
| Ligne 10: | Ligne 13: | ||
| [[https://docs.microsoft.com/en-us/sysinternals/downloads/procmon|Process Monitor]] Permet de surveiller l'activité de votre base de registre et des processus en temps réel. | [[https://docs.microsoft.com/en-us/sysinternals/downloads/procmon|Process Monitor]] Permet de surveiller l'activité de votre base de registre et des processus en temps réel. | ||
| + | |||
| + | {{cuckoo_icon.png?48}} **Cuckoo Sandbox** | ||
| + | |||
| + | [[https://cuckoosandbox.org/|Cuckoo Sandbox]] Un logiciel permettant d’analyser rapidement des malwares. | ||
| + | Codé en python, il génère des rapports détaillés sur le fichier analysé. la version windows n'est pas recommander a cause du manque de fonctionnalités. | ||
| Ligne 44: | Ligne 52: | ||
| - | ====== Javascript ====== | + | ====== Analyse de PE ====== |
| - | Désobfusquer du javascript. Utile en analyse de code malveillants. | + | Permet de déterminer si un exécutable possède des caractéristiques anormales. |
| + | {{pestudio_icon.png?48}} **PeStudio** | ||
| - | {{Malzilla_icon.png?48}} **Malzilla** | + | [[https://www.winitor.com/|PeStudio]] Un outil qui vous permet d'inspecter n'importe quel type d'application 32 ou 64-Bit (*.exe, *.dll, *.cpl, *.ocx, *.ax, *.sys, ...) Que ce soit via une interface visuelle standard ou un rapport basé sur XML. |
| - | [[http://malzilla.sourceforge.net/|Malzilla]] Analyse des URL à la recherche de malwares ou de codes malicieux. Propose plusieurs systèmes de décodage et d'affichage du code (texte ou hexadécimal), et prend en charge les cookies. | ||
| - | {{revelo_icon.png?48}} **Revelo** | + | {{portex_icon.png?48}} **PortEx** |
| - | [[http://www.kahusecurity.com/tools/|Revelo]] Capable de de-obfusquer les codes javascripts afin de les rendre lisibles et compréhensible par un humain. Intègre aussi un sniffer de paquets et un proxy qui permet d'intercepter les requêtes HTTP sans aller sur les sites "sensibles" | + | [[https://github.com/katjahahn/PortEx|PortEx]] Une librairie Java pour l'analyse de logiciels malveillants en faisant une analyse statique du PE. L'accent est mis sur la robustesse des malformations/anomalies du PE. PortEx est écrit en Java et Scala. |
| - | {{firebug_icon.png?48}} **Firebug** | ||
| - | [[https://addons.mozilla.org/fr/firefox/addon/firebug/|Firebug]] Un utilitaire de développement intégré à votre navigateur Firefox. Vous pourrez éditer, débugger et contrôler les feuilles de style CSS, le code HTML, les éléments en Javascript et de nombreux autres composants sur chaque page Web. | + | {{bingraph_icon.png?48}} **BinGraph** |
| - | + | ||
| - | + | ||
| - | ====== PDF ====== | + | |
| - | Analyse de fichiers PDF. | + | |
| - | + | ||
| - | {{pdfstreamdumper_icon.png?48}} **PDF Stream Dumper** | + | |
| - | + | ||
| - | [[https://github.com/dzzie/pdfstreamdumper|PDF Stream Dumper]] Un outil gratuit pour l'analyse de documents PDF malveillants. | + | |
| + | [[https://github.com/geekscrapy/binGraph|BinGraph]] Écrit en python, BinGraph permet de généré des images basé sur l'entropie des exécutables et des DLLs pour permettre d’avoir une visualisation rapide d'un fichier. Permet de repéré les caractéristiques d'un programme et de voir ci celui si est potentiellement compressé, ou non. | ||
| ====== Recherche de strings ====== | ====== Recherche de strings ====== | ||
| Récupérer les SDR d'un fichier. | Récupérer les SDR d'un fichier. | ||
| Ligne 88: | Ligne 88: | ||
| [[http://hexacorn.com/d/hdive.exe|HexDive]] Un outil de ligne de commande qui peut afficher des chaînes ASCII et UNICODE intéressantes intégrées dans n'importe quel fichier binaire. HexDive est en plus intelligent, car il est livré avec un dictionnaire de mots-clés (qui explique aussi pourquoi c'est un exécutable de 20.0MB) et par défaut affiche uniquement les correspondances. | [[http://hexacorn.com/d/hdive.exe|HexDive]] Un outil de ligne de commande qui peut afficher des chaînes ASCII et UNICODE intéressantes intégrées dans n'importe quel fichier binaire. HexDive est en plus intelligent, car il est livré avec un dictionnaire de mots-clés (qui explique aussi pourquoi c'est un exécutable de 20.0MB) et par défaut affiche uniquement les correspondances. | ||
| + | ====== APK ====== | ||
| + | |||
| + | {{apktool_icon.png?48}} **APKtool** | ||
| + | |||
| + | [[https://ibotpeaches.github.io/Apktool/install/|APKtool]] Un outil pour la rétro-ingénierie des applications Android. Il peut décoder les ressources sous une forme presque originale et les reconstruire après avoir apporté quelques modifications; il permet de déboguer le code smali pas à pas. En outre, il facilite le travail avec une application en raison de la structure de fichier de type projet et de l'automatisation de certaines tâches répétitives telles que la construction d'apk, etc. | ||
| + | |||
| + | {{dex2jar_icon.png?48}} **dex2jar** | ||
| + | |||
| + | [[https://sourceforge.net/projects/dex2jar/|dex2jar]] Un outil pour convertir le format .dex d'Android au format .class de Java. | ||
| + | |||
| + | {{Androguard_icon.png?48}} **Androguard** | ||
| + | |||
| + | [[https://github.com/androguard/androguard|Androguard]] Un outil python capable de faire de l'analyse statique d'APK, de la décompilation et bien plus. | ||
| + | |||
| + | ====== Java ====== | ||
| + | |||
| + | {{jd-gui_icon.png?48}} **JD-GUI** | ||
| + | |||
| + | [[http://jd.benow.ca/|JD-GUI]] Un utilitaire qui affiche les codes source Java des fichiers ".class". Vous pouvez parcourir le code reconstruit avec via l'interface de JD-GUI. | ||
| + | |||
| + | ====== Javascript ====== | ||
| + | Désobfusquer du javascript. Utile en analyse de code malveillants. | ||
| + | |||
| + | |||
| + | {{Malzilla_icon.png?48}} **Malzilla** | ||
| + | |||
| + | [[http://malzilla.sourceforge.net/|Malzilla]] Analyse des URL à la recherche de malwares ou de codes malicieux. Propose plusieurs systèmes de décodage et d'affichage du code (texte ou hexadécimal), et prend en charge les cookies. | ||
| + | |||
| + | {{revelo_icon.png?48}} **Revelo** | ||
| + | |||
| + | [[http://www.kahusecurity.com/tools/|Revelo]] Capable de de-obfusquer les codes javascripts afin de les rendre lisibles et compréhensible par un humain. Intègre aussi un sniffer de paquets et un proxy qui permet d'intercepter les requêtes HTTP sans aller sur les sites "sensibles" | ||
| + | |||
| + | {{firebug_icon.png?48}} **Firebug** | ||
| + | |||
| + | [[https://addons.mozilla.org/fr/firefox/addon/firebug/|Firebug]] Un utilitaire de développement intégré à votre navigateur Firefox. Vous pourrez éditer, débugger et contrôler les feuilles de style CSS, le code HTML, les éléments en Javascript et de nombreux autres composants sur chaque page Web. | ||
| + | |||
| + | |||
| + | ====== PDF ====== | ||
| + | Analyse de fichiers PDF. | ||
| + | |||
| + | {{pdfstreamdumper_icon.png?48}} **PDF Stream Dumper** | ||
| + | |||
| + | [[https://github.com/dzzie/pdfstreamdumper|PDF Stream Dumper]] Un outil gratuit pour l'analyse de documents PDF malveillants. | ||
| ====== SWF ====== | ====== SWF ====== | ||
| Ligne 100: | Ligne 143: | ||
| [[https://github.com/sporst/SWFREtools|SWFREtools]] Une collection d'utilitaires créé par Sebastian Porst pour l'ingénierie inverse des fichiers SWF malveillants. | [[https://github.com/sporst/SWFREtools|SWFREtools]] Une collection d'utilitaires créé par Sebastian Porst pour l'ingénierie inverse des fichiers SWF malveillants. | ||
| - | |||
| Ligne 119: | Ligne 161: | ||
| {{hiew_icon.png?48}} **Hiew** | {{hiew_icon.png?48}} **Hiew** | ||
| + | |||
| [[http://www.hiew.ru/|Hiew]] (abréviation de Hacker's view) capable de visualisé et dumpé la MBR via la commande ''hiew32 \\.\PhysicalDrive0'' | [[http://www.hiew.ru/|Hiew]] (abréviation de Hacker's view) capable de visualisé et dumpé la MBR via la commande ''hiew32 \\.\PhysicalDrive0'' | ||
| {{runpekiller_icon.png?48}} **RunPe Killer** | {{runpekiller_icon.png?48}} **RunPe Killer** | ||
| + | |||
| [[http://psymera.blogspot.com/2009/07/runpe-killer-ver-10.html|RunPe Killer]] Un unpacker de RunPE codé en vb6. | [[http://psymera.blogspot.com/2009/07/runpe-killer-ver-10.html|RunPe Killer]] Un unpacker de RunPE codé en vb6. | ||
| ====== Camouflage/Indétectabilité ====== | ====== Camouflage/Indétectabilité ====== | ||
| Ligne 132: | Ligne 176: | ||
| [[http://www.rohitab.com/discuss/topic/23880-dkom-process-hider/|Dkom Process Hider]] Camoufleur de processus (windows XP uniquement) | [[http://www.rohitab.com/discuss/topic/23880-dkom-process-hider/|Dkom Process Hider]] Camoufleur de processus (windows XP uniquement) | ||
| + | |||
| + | ====== Divers ====== | ||
| + | |||
| + | {{ransomhelper_icon.png?48}} **Ransom Helper** | ||
| + | |||
| + | [[https://github.com/Xyl2k/RansomHelper|Ransom Helper]] Permet de bouger l’indéplaçable. | ||
| + | |||
| + | |||
| + | {{virustotaluploader_icon.png?48}} **VirusTotal Uploader** | ||
| + | |||
| + | [[https://www.virustotal.com/en/documentation/desktop-applications/|VirusTotal Uploader]] Permet d'envoyer vers VirusTotal des applications rapidement, ajoute également dans le menu contextuel 'Envoyer vers' un raccourcis vers l'application. | ||
| + | |||
| + | |||
| + | {{python_icon.png?48}} **Python 2.7** | ||
| + | |||
| + | [[https://www.activestate.com/activepython/downloads|Python 2.7]] Python est nécessaire pour utiliser beaucoup d'outils pratique dans l'analyse de code malveillant. | ||
| + | |||
| + | {{osrloader_icon.png?48}} **OSRLoader** | ||
| + | |||
| + | [[https://www.osronline.com/article.cfm?article=157|OSRLoader]] sert à charger des drivers rapidement et proprement. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | - [pyew](https://github.com/joxeankoret/pyew): command line hexadecimal | ||
| + | editor and disassembler, mainly to analyze malware | ||
| + | - [Exefilter](http://www.decalage.info/exefilter): filter file formats | ||
| + | in e-mails, web pages or files. Detects many common file formats and | ||
| + | can remove active content | ||
| + | - [pyClamAV](http://xael.org/norman/python/pyclamav/index.html): add | ||
| + | virus detection capabilities to your Python software | ||
| + | - [jsunpack-n](https://github.com/urule99/jsunpack-n), generic | ||
| + | JavaScript unpacker: emulates browser functionality to detect | ||
| + | exploits that target browser and browser plug-in vulnerabilities | ||
| + | - [yara-python](https://github.com/plusvic/yara/tree/master/yara-python): | ||
| + | identify and classify malware samples | ||
| + | - [phoneyc](https://github.com/honeynet/phoneyc): pure Python | ||
| + | honeyclient implementation | ||
| + | - [CapTipper](https://github.com/omriher/CapTipper): analyse, explore and | ||
| + | revive HTTP malicious traffic from PCAP file | ||
| + | |||
| + | |||
| + | |||
| + | A curated list of awesome malware analysis tools and resources. https://github.com/rshipp/awesome-malware-analysis#network | ||
| + | |||
outils_malware.1510480511.txt.gz · Dernière modification: 2017/11/12 10:55 par Xylitol
Outils de la Page
Sauf mention contraire, le contenu de ce wiki est placé sous la licence suivante : CC Attribution-Share Alike 3.0 Unported
