小白向之文件分析工具推荐

ELOHIM

拓之疆也，开之域哉。
常用分析工具汇总，互学互帮互助分享。
以其做好计算机防护，高效学习、工作、生活及娱乐多端不误。
应认真做好数据备份，以防不测。



一、静态分析工具
PeStudio：一款初步分类工具，可快速洞察Windows可执行文件，包括哈希、字符串和潜在的危害指标，帮助分析人员在不执行病毒程序的情况下获取文件的基本信息和潜在风险。
CFF Explorer：允许用户查看和编辑Windows可执行文件的内部结构，通过分析文件的结构、函数调用、资源等信息，帮助评估恶意软件的潜在影响。
Resource Hacker：可以查看、修改和提取可执行文件中的资源，如图标、位图、字符串等，对于分析病毒程序中可能隐藏的恶意资源或信息很有帮助。

二、动态分析工具
Cuckoo Sandbox：开源工具，通过在隔离的虚拟机中执行样本并生成有关其行为的详细报告来自动进行恶意软件分析，支持Windows、Linux、macOS等多种操作系统。
进程监视器（ProcMon）：可以捕获实时系统活动，包括注册表、文件系统和网络操作等，通过监控病毒程序在运行时的各种系统调用和操作，深入了解其运行时行为。
Wireshark：网络协议分析器，可捕获和分析网络流量，帮助了解恶意软件的通信模式、与哪些服务器进行连接以及传输的数据内容等。

三、行为分析工具
YARA：支持创建和应用规则来描述恶意软件模式，有助于根据恶意软件的行为对其进行检测和分类，用户可以根据已知的病毒特征或行为模式编写YARA规则，然后对文件或内存进行扫描。
Volatility：内存取证工具，从内存转储中提取信息来分析恶意软件的运行时行为和对系统的影响，可帮助分析人员获取病毒在内存中的运行状态、隐藏的进程、注入的代码等。

四、逆向工程工具
Ghidra：由美国国家安全局开发的开源逆向工程套件，支持反汇编、反编译和调试，可帮助分析人员深入了解病毒程序的内部工作原理和逻辑。
x64dbg：用于手动调试和逆向工程的调试器，需要汇编代码知识，但可以提供有关恶意软件操作的详细见解，适用于对病毒程序进行深入的调试和分析。
IDA Pro：一种流行的逆向工程工具，支持多种编程语言和平台，能够对恶意软件的内部工作原理进行详细分析，具有强大的反汇编和反编译功能，以及丰富的插件和脚本支持。

五、在线分析平台
VirusTotal：基于网络的服务，使用多个防病毒引擎扫描文件和URL，提供对潜在威胁的广泛视角，用户可以上传文件或输入URL，获取多个杀毒引擎的扫描结果。
微步在线云沙箱：基于多款反病毒引擎检测，利用虚拟化沙箱深度分析技术，实现恶意文件自动化、可定制化的行为分析，可检测已知和未知威胁。
腾讯哈勃分析系统：腾讯反病毒实验室自主研发的安全辅助平台，用户可以上传样本并得知样本的基本信息、可能产生的行为、安全等级等。



本文供初入文件分析有兴趣同学使用，大佬可补充，帮教助学。

还有多款软件或平台未提及，比如微软麾下的Sysinternals工具包（上文简要提及procmon），安天合作出品的ATool 系统安全内核分析工具，火绒内置工具、OSV-Scanner、Sqlmap、Wapiti、ZAP (OWASP Zed Attack Proxy)、Nessus、Metasploit、Nmap、360等。



煮沙不能成米，种豆怎会得瓜！用城隍庙一首对联结束吧：

使尽无限机谋，为子为孙。临死去只落得一双空手，赴阴司始问子孙安在？
用出多般巧诈，图名图利。到头来徒留下千载骂名，来地府方知名利皆虚。