Ferramentas

010 Editor

Shareware

Multiplataforma, bastante usado. Suporta templates e scripts. Alguns dizem que é o melhor atualmente.

bvi

Livre

Editor de interface de texto (TUI), similar ao HT Editor. Tem versão para DOS/Windows mas reina mesmo é no Linux.

fhex

Livre

Editor gráfico multiplataforma capaz de exibir o binário graficamente, além de suportar expressões regulares na busca.

GNU poke

Livre

Editor REPL genérico (não só para executáveis) com uma abordagem muito interessante. Escrevemos um artigo sobre.

Helium Hex Edtitor

Comercial

Editor incrível para Windows. Tem recursos muito legais como edição e alocação de memória, operações com dados (XOR, SHL, etc) e na versão paga tem suporte a vários algoritmos criptográficos, disassembly e mais.

Hex Workshop

capa

Livre

Detecta as capacidades de executáveis PE e shellcodes para Windows.

CFF Explorer

Freeware

Sendo parte do Explorer Suite, é na real um editor de PE. Com ele é possível adicionar imports, remover seções, etc.

DIE (Detect It Easy)

Freeware

Detecta compilador, linker, packer e protectors em binários. Também edita os arquivos.

DUMPBIN

Freeware

BFD

Livre

Binary File Descriptor é a biblioteca usada por programas como readelf e objdump. Tem suporte a muitos tipos de arquivos, incluindo PE e ELF, claro.

libpe

Livre

Nossa 💚 biblioteca multiplataforma para parsing de arquivos PE.

libPeConv

Livre

Biblioteca em C++ para PE usada pelo PE-Bear.

pefile

Livre

flat assembler (FASM)

Livre

Assembler bem recente que já vem com vários exemplos de código. Windows e Linux.

GNU Assembler (GAS)

Livre

Também chamado simplesmente de as, é o assembler do projeto GNU e provavelmente já está instalado no seu Linux!

Microsoft Macro Assembler (MASM)

Freeware

Atualmente já vem com o Visual Studio da Microsoft, mesmo na versão Community. Segue um tutorial de como compilar um "Hello, world".

Netwide Assembler (NASM)

Livre

Binary Ninja

Comercial

Novo disassembler que teoricamente compete com o IDA. Possui versão online gratuita mediante registro.

Ghidra

Livre

Disassembler livre lançado pela NSA. Temos um treinamento em vídeo sobre ele.

Hopper

Comercial

Disassembler com foco em binários de Linux e macOS.

IDA

Comercial

dnSpy

Livre

Somente para .NET, descompila, debuga e (dis)assembla.

edb (Evan's Debugger)

Livre

Debugger gráfico (Qt) com foco em binários ELF no Linux.

GDB (GNU Debugger)

Livre

Super conhecido debugger pra Linux do projeto GNU. Tem uma versão não oficial pra Windows também. É modo texto, mas possui vários front-ends como GDBFrontend, dentre outros.

GEF

Livre

de4dot

Livre

Para .NET. Conhece vários ofuscadores e permite trabalhar genericamente também.

Threadtear

Livre

Para programas feito em Java. Suporta os ofuscadores mais comuns como Stinger e ZKM.

ILSpy

Livre

Descompilador multiplataforma para .NET.

IDR (Interactive Delphi Reconstructor)

Livre

Para binários compilados em Delphi.

Reko

Livre

Descompilador genérico com versão de linha de comando, gráfica e até web.

RetDec (Retargetable Decompiler)

Livre

Descompilador para C/C++ feito pelo time do Avast. Inclui detector de compilador e packer, plugins para IDA e radare2.

Snowman

Livre

Descompilador livre para C/C++. Pode ser usado como plugin no IDA, x64dbg, etc.

CFR

Livre

Descompilador para Java de linha de comando. O output é o código fonte e só.

IntelliJ IDEA

Mista

Na verdade é uma IDE para programação em Java mas mesmo a versão Community possui descompilador e debugger para classes compiladas em Java.

JD-GUI

Livre

Descompilador para Java com GUI.

Procyon

Livre

VB Decompiler

Comercial

Descompilador para VB5/6 e disassembler para VB .NET.

Qiling

Livre

Framework que combina emulação com instrumentação de binários. É possível emular programas de Windows e Linux, além de outros SOs, incluindo ring0.

Speakeasy

Livre

Emulador feito pela FireEye, inicialmente para programas nativos de Windows (ring0) mas possui um crescente suporta à programas em usermode (ring3), emulando várias das funções da Windows API.

angr

Livre

Framework para análise estática e simbólica de binários.

Frida

Livre

Framework para instrumentação dinâmica de binários.

PANDA

Livre

Plataforma de análise dinâmica baseada no QEMU, que faz até replay de ações.

Radare

Livre

Process Explorer

Freeware

Clássica ferramenta do conjunto SysInternals, que exibe muito mais que o Gerenciador de Tarefas comum.

System Explorer

Livre

Versão do Pavel Yosifovich que conta com algumas vantagens sobre o Process Explorer, como visualizar informações de processos protegidos (através de um driver), listar todas as threads abertas no Windows, todos os jobs, etc.

System Informer (antigo Process Hacker)

Livre

Talvez o melhor da categoria. Mostra os handles, objetos, processos, quem tá usando o que e muita mais.

LiSa

Livre

Possui uma API bem simples e suporta binários ELF compilados para x86, x86-64, ARM e MIPS.

DRAKVUF Sandbox

Livre

Projeto co-financiado pelo CERT da Polônia que usa o engine DRAKVUF para criar uma sandbox de Windows 7 ou Windows 10 sem agente no guest.

CAPE

Livre

Sandbox específica para extração de configuração de malware.

Cuckoo

Livre

Provavelmente a sandbox mais popular e utilizada.

Any.Run

Community

Apesar do nome, só suporta artefatos de Windows, mas é muito bom!

Hybrid Analysis

Community

Sandbox muito boa. Também é um portal de investigação inclusive com suporte à regras de Yara.

Joe Sandbox

Community

Um dos primeiros serviços. Suporta ELF (x86 e x86-64), PE e documentos.

hdump

Livre

Clone nosso 💚, multiplataforma (funciona no Windows!) do hexdump que imita a saída do hd.

heksa

Livre

Multiplataforma, com saída colorida e recursos interessantes como seek negativo (a partir do fim do arquivo).

HexLasso

Gratuito

Visualizador web que faz análises estatísticas visuais muito úteis.

hexyl

Livre

Kaitai Struct

Livre

Se você pensa em parsear um formato desconhecido ou tá estudando PE/ELF, vale olhar este gerador de parser livre.

Intezer Analyzer

Community

Online. Requer um pequeno cadastro. Tem um recursos de identificar "genes" estaticamente de famílias de binários.

Comercial

Analisador de PE de linha de comando disponível no SDK do Visual Studio.

Famosa biblioteca em Python pra fazer qualquer coisa com arquivos PE.

Multiplataforma, suporte à sintaxe Intel e bem popular. Veja um .

Disassembler interativo padrão de mercado. Possui versão freeware.

O GDB Enhanced Features extende o GDB com recursos para engenharia reversa.

Para Java, com suporte a recursos novos da linguagem. É modo texto mas há GUI's disponíveis documentadas no link.

Suíte completa com debugger, disassembler e outras ferramentas para quase todo tipo de binário existente!

Multiplataforma, também com output colorido, exibição de borda, etc.