マルウェア動的解析に用いるツールについて
1.方針
マルウェア(Malware)の動的解析に用いる一般的なフリーツールを調査して整理します。基本的には私のメモ的なものになりますので、ご容赦ください。
2章に記載のリンクは記事執筆時点でのリンクになります。また、リンク先の安全性は保証しませんので利用する際は、自己責任にてご利用ください。
2.ツール一覧
- ネットワーク
- WireShark:一般的なネットワーク通信キャプチャアプリ。必須。:
https://www.wireshark.org/download.html
- BurpSuite:プロキシアプリ。簡単に利用可能。:
https://portswigger.net/burp/communitydownload
- FakeNet-Ng:ネットワーク通信シミュレーター。使ったことはない。:
https://github.com/mandiant/flare-fakenet-ng
- Network Traffic View:ネットワーク通信を可視化するアプリ。使ったことはない。:
https://www.nirsoft.net/utils/network_traffic_view.html
- Network Usage View:同上:
https://www.nirsoft.net/utils/network_usage_view.html
2.プロセス
- Process Hacker:起動中のプロセスを可視化するアプリ。便利。
https://processhacker.sourceforge.io/downloads.php
- Inject Proc:使ったことはない。
https://github.com/secrary/InjectProc
- ProcessExplore:起動中のプロセスを可視化するアプリ。便利。Hackerとの違いは要調査。:
https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
-
Process Monitor:起動中のプロセスを監視するアプリ。便利。: https://download.sysinternals.com/files/ProcessMonitor.zip
- RECmd:
https://github.com/EricZimmerman/RECmd
- Regripper:
https://github.com/keydet89/RegRipper3.0
- Regshot:
https://github.com/Seabreg/Regshot
- Sysmon:
https://download.sysinternals.com/files/Sysmon.zip
- FTK Imager:マルウェア解析ツールと言うよりはフォレンジック系。
https://go.exterro.com/l/43312/2023-05-03/fc4b78
- Volatility:メモリ解析ツールの代表。
https://www.volatilityfoundation.org/releases
- Exif Tool:メタデータ調査ツール
- WinMerge(日本語版):ファイル・フォルダ比較ツール
https://winmergejp.bitbucket.io/
- BinDiff:バイナリ比較
https://www.zynamics.com/software.html
- Bz:バイナリエディタ
https://forest.watch.impress.co.jp/library/software/binaryeditbz/
- Xpeviewer:
https://github.com/horsicq/XPEViewer/releases
- CFF Explorer
- Dependencies
- detect it easy
- PDBRipper
- PE Tools
- pebear
- yara
- HashMyFiles
- DNspy
- Dotpeek
- Ghidra
- PDF Stream Dumper
- サクラエディタ
- 7zip