From Aldeid

Contents 1 Online resources 1.1 Tutorials 1.2 Tools 2 Scripts & Tools 2.1 Malware analysis 2.2 Scripts 2.3 Tools 3 Commands 4 Examples

Online resources

Tutorials

• http://zeltser.com/combating-malicious-software/

Tools

Whois IP

http://www.frameip.com/whois/whois.php

http://www.all-nettools.com/toolbox/smart-whois.php

Blacklist Check

http://whatismyipaddress.com/blacklist-check

http://www.barracudacentral.org/lookups/ip-reputation

http://sitecheck.sucuri.net/scanner/

File/URL scan

http://www.virustotal.com

http://www.threatexpert.com

http://wepawet.iseclab.org

http://anubis.iseclab.org/?action=home

Host analysis

http://support.clean-mx.de/clean-mx/viruses.php?domain=somehost.com&sort=id%20desc

Malware analysis

http://www.sunbeltsecurity.com/sandbox/

http://anubis.iseclab.org/

Scripts & Tools

Malware analysis

• list-spam-messages.py: Python script that extracts spam messages from a pcap file
• OfficeMalScanner

Scripts

• carnivorous.rb
• findsmtpinfo.py
• NetworkMiner: Ce programme a été écrit par Erik Hjelmuk dans le cadre du concours forensicscontest.com. Il permet entre autres la détection des hôtes, trames, fichiers, images, authentifications, dns, paramètres en temps réel, ou à partir d'un fichier de capture.
• oftcat
• pcapcat: Outil développé par Kristinn Gudjonsson dans le cadre du concours forensicscontest.com, permettant l'affichage et l'extraction des flux de données contenus dans un fichier de capture au format pcap.
• smtp-anex: smtp_anex (SMTP ANalyse and EXtraction tool) est un outil (écrit en Perl par Kristinn Gudjonsson dans le cadre du concours forensicscontest.com) d'analyse et d'extraction de conversations SMTP. Le fichier analysé doit correspondre à un fichier "dumpé" (voir par exemple pcapcat du même auteur) à partir d'un fichier de capture au format pcap.
• smtpdump: Ce programme, écrit en ruby, a été développé par Franck GUENICHOT dans le cadre du concours forensicscontest.com. Il permet d'extraire des données SMTP (flux, authentification, pièce jointe, signature MD5) à partir d'un fichier de capture (format pcap).
• tcpxtract: Outil d'extraction de fichiers en temps réel ou à partir d'un fichier de capture, prenant en charge 26 formats.

Tools

• argus (and ra* clients): http://www.qosient.com/argus/
• nfsen / nfdump / nfcapd
• fprobe: http://fprobe.sourceforge.net
• SiLK: http://silktools.sourceforge.net/
• Stager: http://software.uninett.no/stager/
• Jflow
• Qflow: http://software.uninett.no/qflow/
• flow-tools : http://www.splintered.net/sw/flow-tools/
• InMon: http://www.inmon.com/
• Ntop: http://www.ntop.org/
• Honeysnap
• Chaosreader
• NetStream
• Cflowd
• Rflow
• AppFlow
• tshark

Commands

• awk
• base64
• cut
• egrep
• grep
• head
• hexdump
• sed
• sort
• xxd

Examples

• Cas pratique 1 : Ann's bad AIM
• Cas pratique 2 : Ann's skips bail
• Cas pratique 3 : Ann's AppleTV
• Cas pratique 4 : The curious Mr. X
• Forensicscontest-puzzle8
• Forensicscontest-puzzle5