Outils d'utilisateurs

Outils du Site


outils_malware

Par soucis de redondance au niveau des outils pouvant être utile ici, nous vous conseillons de jeter un œil également aux outils recommandés pour l'analyse de binaire.

Monitoring

Permet de surveiller et de monitorer l'environnement durant l'exécution d'un programme. Très utile dans le cas d'analyse de code malveillants.

Process Explorer

Process Explorer Permet de surveiller l'activité des processus en cours d'utilisation par le système. Il est ainsi possible de déterminer les dossiers, fichiers et clés du registre auxquels une application a accédé.

Process Monitor

Process Monitor Permet de surveiller l'activité de votre base de registre et des processus en temps réel.

Cuckoo Sandbox

Cuckoo Sandbox Un logiciel permettant d’analyser rapidement des malwares. Codé en python, il génère des rapports détaillés sur le fichier analysé. la version windows n'est pas recommander a cause du manque de fonctionnalités.

Regshot

Regshot Permet d'effectuer des sauvegardes de la base de registre de Windows dans le but de les comparer.

API Monitor

API Monitor Permet d'effectuer des sauvegardes de la base de registre de Windows dans le but de les comparer.

Driver Monitor

Driver Monitor Par Fyyre et EP_X0FF, permet d’interrompre le chargement de driver et de faire une copie local de celui ci.

Réseau

Surveiller le réseau afin de découvrir le traffic d'applications. Utile en analyse de code malveillants.

Wireshark

Wireshark Un analyseur de paquets libre utilisé dans le dépannage et l'analyse de réseaux informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie.

Fiddler

Fiddler Un proxy HTTP permettant d'intercepter, d'analyser et même de modifier à la volée toutes les requêtes et échanges entre un PC et un serveur Web.

NetworkMiner

NetworkMiner Analyse votre réseau à la manière d'un sniffer passif grâce auquel vous obtenez de très nombreuses informations détaillées concernant les systèmes d'exploitation, les sessions, les noms d'hôte, les ports ouverts, etc. détectés sur le réseau.

Analyse de PE

Permet de déterminer si un exécutable possède des caractéristiques anormales.

PeStudio

PeStudio Un outil qui vous permet d'inspecter n'importe quel type d'application 32 ou 64-Bit (*.exe, *.dll, *.cpl, *.ocx, *.ax, *.sys, …) Que ce soit via une interface visuelle standard ou un rapport basé sur XML.

PortEx

PortEx Une librairie Java pour l'analyse de logiciels malveillants en faisant une analyse statique du PE. L'accent est mis sur la robustesse des malformations/anomalies du PE. PortEx est écrit en Java et Scala.

BinGraph

BinGraph Écrit en python, BinGraph permet de généré des images basé sur l'entropie des exécutables et des DLLs pour permettre d’avoir une visualisation rapide d'un fichier. Permet de repéré les caractéristiques d'un programme et de voir ci celui si est potentiellement compressé, ou non.

Recherche de strings

Récupérer les SDR d'un fichier.

Interface graphique

BinText

BinText Un petit extracteur de texte puissant. Il peut extraire du texte de n'importe quelle sorte de fichier et inclut la capacité de trouver du texte ASCII en clair, des morceaux de texte Unicode (double octet ANSI) et de ressource, par McAfee, Inc.

Terminal

Strings

Strings Recherchez les chaînes ANSI et UNICODE dans les images binaires., par Sysinternals.

HexDive

HexDive Un outil de ligne de commande qui peut afficher des chaînes ASCII et UNICODE intéressantes intégrées dans n'importe quel fichier binaire. HexDive est en plus intelligent, car il est livré avec un dictionnaire de mots-clés (qui explique aussi pourquoi c'est un exécutable de 20.0MB) et par défaut affiche uniquement les correspondances.

APK

APKtool

APKtool Un outil pour la rétro-ingénierie des applications Android. Il peut décoder les ressources sous une forme presque originale et les reconstruire après avoir apporté quelques modifications; il permet de déboguer le code smali pas à pas. En outre, il facilite le travail avec une application en raison de la structure de fichier de type projet et de l'automatisation de certaines tâches répétitives telles que la construction d'apk, etc.

dex2jar

dex2jar Un outil pour convertir le format .dex d'Android au format .class de Java.

Androguard

Androguard Un outil python capable de faire de l'analyse statique d'APK, de la décompilation et bien plus.

Java

JD-GUI

JD-GUI Un utilitaire qui affiche les codes source Java des fichiers ”.class”. Vous pouvez parcourir le code reconstruit avec via l'interface de JD-GUI.

Javascript

Désobfusquer du javascript. Utile en analyse de code malveillants.

Malzilla

Malzilla Analyse des URL à la recherche de malwares ou de codes malicieux. Propose plusieurs systèmes de décodage et d'affichage du code (texte ou hexadécimal), et prend en charge les cookies.

Revelo

Revelo Capable de de-obfusquer les codes javascripts afin de les rendre lisibles et compréhensible par un humain. Intègre aussi un sniffer de paquets et un proxy qui permet d'intercepter les requêtes HTTP sans aller sur les sites “sensibles”

Firebug

Firebug Un utilitaire de développement intégré à votre navigateur Firefox. Vous pourrez éditer, débugger et contrôler les feuilles de style CSS, le code HTML, les éléments en Javascript et de nombreux autres composants sur chaque page Web.

PDF

Analyse de fichiers PDF.

PDF Stream Dumper

PDF Stream Dumper Un outil gratuit pour l'analyse de documents PDF malveillants.

SWF

Décompiler du flash. Utile en analyse de code malveillants.

Interface graphique

Sothink SWF Decompiler

Sothink SWF Decompiler Permet de convertir rapidement des fichiers SWF (Shockwave Flash) au format FLA (Flash Movie). L'application peut extraire indépendamment et exporter chaque élément du fichier : sons, images, vidéos, textes, fonds, boutons, etc.

SWFREtools

SWFREtools Une collection d'utilitaires créé par Sebastian Porst pour l'ingénierie inverse des fichiers SWF malveillants.

Terminal

SWFTools

SWFTools Une collection d'utilitaires pour travailler avec des fichiers SWF. La collection d'outils comprend des programmes permettant de les lires, de les combiner et de les créer à partir d'autres contenus (tels que des images, des fichiers audio, des vidéos ou un code source).

Dumping

HDHacker

HDHacker Permet de sauvegarder/écrire des zones de votre disque dur. Cela est particulièrement interessant lorsque vous voulez sauvegarder votre MBR.

ProcDump

ProcDump Un utilitaire dont le but principal est de surveiller une application pour détecter les pics d'UC et générer des crash dumps. Il peut également servir pour faire un dump d'un processus.

Hiew

Hiew (abréviation de Hacker's view) capable de visualisé et dumpé la MBR via la commande hiew32 \\.\PhysicalDrive0

RunPe Killer

RunPe Killer Un unpacker de RunPE codé en vb6.

Camouflage/Indétectabilité

HideToolz

HideToolz (HTz) de Ms-Rem puis de Fyyre n'est pas un « rootkit » au sens propre bien qu'il en ait certaines fonctions. Il n'essaie pas de se cacher ou à cacher les fenêtres des logiciels qui fonctionnent dans le PC. Il cache les processus choisis par l'utilisateur aux outils qui veulent les lister, à commencer par le gestionnaire de tâches de Windows. Seuls les logiciels capables d'une recherche à partir du noyau (“ring0”) détectent encore ce qui a été camouflé. Compatible uniquement avec les systèmes 32 bits, inclu aussi une fonctionnalité pour interrompre un arrêt/redémarrage de Windows.

Dkom Process Hider

Dkom Process Hider Camoufleur de processus (windows XP uniquement)

Divers

Ransom Helper

Ransom Helper Permet de bouger l’indéplaçable.

VirusTotal Uploader

VirusTotal Uploader Permet d'envoyer vers VirusTotal des applications rapidement, ajoute également dans le menu contextuel 'Envoyer vers' un raccourcis vers l'application.

Python 2.7

Python 2.7 Python est nécessaire pour utiliser beaucoup d'outils pratique dans l'analyse de code malveillant.

OSRLoader

OSRLoader sert à charger des drivers rapidement et proprement.

- [pyew](https://github.com/joxeankoret/pyew): command line hexadecimal

  editor and disassembler, mainly to analyze malware

- [Exefilter](http://www.decalage.info/exefilter): filter file formats

  in e-mails, web pages or files. Detects many common file formats and
  can remove active content

- [pyClamAV](http://xael.org/norman/python/pyclamav/index.html): add

  virus detection capabilities to your Python software

- [jsunpack-n](https://github.com/urule99/jsunpack-n), generic

  JavaScript unpacker: emulates browser functionality to detect
  exploits that target browser and browser plug-in vulnerabilities

- [yara-python](https://github.com/plusvic/yara/tree/master/yara-python):

  identify and classify malware samples

- [phoneyc](https://github.com/honeynet/phoneyc): pure Python

  honeyclient implementation

- [CapTipper](https://github.com/omriher/CapTipper): analyse, explore and

  revive HTTP malicious traffic from PCAP file

A curated list of awesome malware analysis tools and resources. https://github.com/rshipp/awesome-malware-analysis#network

outils_malware.txt · Dernière modification: 2019/10/22 12:16 par M0N5T3R