8 repository-uri
Tools and environments for investigating suspicious files to identify malicious behavior and system interactions.
Explore 8 awesome GitHub repositories matching security & cryptography · Malware Analysis Workflows. Refine with filters or upvote what's useful.
Ghidra is a software reverse engineering suite designed to analyze compiled binaries and reconstruct program logic without access to original source code. It provides an interactive environment for disassembly and decompilation, utilizing a platform-independent intermediate representation to maintain consistency across diverse hardware architectures. The framework supports automated binary analysis through programmatic routines, enabling the investigation of complex code patterns and security indicators. The platform distinguishes itself through a modular architecture that allows for extensiv
Investigates suspicious files to identify malicious behaviors and system interactions through deep binary inspection.
Frida is a dynamic binary instrumentation toolkit that provides a framework for deep process introspection and live application state manipulation. It enables the injection of custom scripts into running processes to trace function calls, modify memory, and analyze application behavior in real-time across diverse operating systems and processor architectures. The project distinguishes itself by embedding a high-performance JavaScript engine directly within the target process, allowing for the execution of user-defined logic for real-time inspection. It utilizes instruction-level hooking to re
Safely observes suspicious program behavior by intercepting system calls and monitoring memory in isolated environments.
Cutter is a binary analysis platform and graphical user interface for the Rizin reverse engineering framework. It provides an environment for analyzing the internal logic and data structures of compiled binaries through integrated disassembly and visualization. The platform supports a containerized deployment model to provide isolated environments for binary analysis, which is used to examine suspicious binaries without risking the host system. It is an extensible security tool that allows for the addition of custom analysis capabilities and visualizers via native plugins and scripts. The to
Provides a specialized workflow for investigating suspicious binaries within isolated containerized environments.
Transfer.sh is a self-hosted file storage server designed for rapid data sharing through a command-line interface. It functions as an encrypted hosting platform that allows users to upload and download files using standard HTTP requests, facilitating direct data transfer between systems without the need for external accounts or complex configurations. The service distinguishes itself by processing data as continuous streams, which minimizes memory usage during large transfers. It provides granular control over file availability through automated lifecycle management, allowing administrators t
Integrates automated security analysis into file upload workflows to detect threats.
This project is a Java bytecode reverse engineering suite that functions as a disassembler, decompiler, and editor for Java class files and Android APK binaries. It provides tools to transform compiled bytecode into assembly instructions or readable source code. The toolset supports Android APK analysis and Java binary patching, allowing for the modification of source code or bytecode and subsequent recompilation into functional binaries. It includes capabilities for removing Java obfuscation and performing malware analysis through the detection of malicious code patterns. The system incorpo
Implements workflows for scanning compiled Java classes to detect harmful code patterns.
TheZoo is a centralized repository and management system designed for the storage, organization, and retrieval of live malicious software samples. It provides a structured environment for security researchers and educators to access, track, and analyze dangerous code for the purpose of threat intelligence and defense development. The system utilizes a command-line interface to manage the lifecycle of malware samples, including the preparation of new submissions and the querying of a centralized database. To ensure safety and authenticity, the platform stores binaries in password-protected, en
Provides a command-line interface for browsing and interacting with a structured database of malicious code for security research.
ScyllaHide este un plugin de bypass pentru anti-debugger și un instrument de reverse engineering conceput pentru a ascunde un debugger de o aplicație țintă. Funcționează ca o bibliotecă de hooking API în user-mode și un framework de injectare DLL care previne detectarea și închiderea programelor în timpul analizei. Proiectul permite analiza malware-ului și studiul software-ului protejat prin neutralizarea apărărilor de securitate. Acest lucru este realizat prin interceptarea și modificarea răspunsurilor bibliotecilor de sistem pentru a induce în eroare aplicațiile cu privire la mediul lor de execuție. Utilitarul folosește mai multe metode tehnice pentru a menține stealth-ul, inclusiv inline API hooking, proxying pentru apeluri de sistem și patching pentru process environment block (PEB). De asemenea, gestionează trap-urile în user-mode și utilizează redirecționarea bibliotecilor dinamice pentru a filtra răspunsurile API sensibile.
Facilitates malware analysis workflows by neutralizing security checks in malicious binaries.
Malwoverview este un utilitar de securitate de linie de comandă conceput pentru agregarea informațiilor despre amenințări, analiza malware-ului și triajul incidentelor. Funcționează ca un framework pentru automatizarea investigării fișierelor suspecte, a hash-urilor, a domeniilor și a adreselor IP prin orchestrarea interogărilor către mai multe servicii de securitate externe și sandbox-uri. Instrumentul se distinge prin capabilitățile sale de procesare batch asincronă, care permit gestionarea eficientă a investigațiilor de indicatori la scară largă fără a bloca execuția. Dispune de o arhitectură modulară de plugin-uri care permite integrarea diverselor furnizori de threat intelligence, în timp ce stratul său unificat de normalizare a datelor asigură că răspunsurile disparate sunt structurate consistent pentru analiză. Mai mult, platforma încorporează modele de limbaj pentru a oferi evaluări automate ale riscurilor, mapări de framework-uri și rezumate contextuale ale informațiilor colectate. Dincolo de capabilitățile sale de agregare, proiectul include motoare de scanare locală care suportă detecția bazată pe semnături și modele, inclusiv aplicarea de reguli personalizate împotriva sistemelor de fișiere locale. Oferă, de asemenea, utilitare de extracție automată care parsează text nestructurat, documente și pagini web pentru a identifica și izola indicatorii de compromitere. Software-ul este distribuit ca o interfață de linie de comandă bazată pe Python, facilitând integrarea în fluxuri de lucru de securitate automatizate și operațiuni de triaj la scară largă.
Orchestrates the submission of suspicious files to analysis engines and groupings of variants via import hashes.