awesome-malware-analysis: el índice maestro de herramientas

Qué es awesome-malware-analysis

awesome-malware-analysis es la awesome list de referencia para el campo del análisis de malware. Mantiene un catálogo organizado de más de 400 herramientas, frameworks, datasets, cursos y recursos para analistas de malware, reverse engineers y equipos de respuesta a incidentes.

Es el punto de partida cuando necesitas encontrar una herramienta para un problema específico: "necesito un sandbox para analizar muestras Android", "busco un desempaquetador de UPX", "quiero un framework de análisis de tráfico C2". En lugar de buscar en Google y filtrar entre resultados de calidad variable, esta lista ya ha hecho la curación por ti.

Estructura y categorías clave

El repositorio organiza las herramientas en categorías que cubren todo el ciclo de análisis:

Análisis estático

• Desempaquetadores: UPX, unipacker, de4dot (.NET)
• Parsers PE/ELF: pefile, LIEF, radare2, Binary Ninja
• Decompiladores: Ghidra, IDA Pro, RetDec, Hex-Rays
• Extractores de strings: FLOSS (FireEye), strings++
• Análisis de documentos: oletools (Office), pdf-parser, pdfid

Análisis dinámico

• Sandboxes: Cuckoo/CAPEv2, ANY.RUN, Joe Sandbox, Hybrid Analysis
• Monitorización: Process Monitor, API Monitor, Noriben
• Instrumentación: Frida, DynamoRIO, Intel Pin
• Debugging: x64dbg, OllyDbg, WinDbg

Network analysis

• Captura: Wireshark, tcpdump, NetworkMiner
• Simulación C2: FakeNet-NG, INetSim, ApateDNS
• Decodificación de protocolos: Zeek (Bro), Suricata

Memoria forense

• Frameworks: Volatility 2/3, Rekall
• Adquisición: winpmem, LiME, AVML

Threat Intelligence

• Plataformas: MISP, OpenCTI, TheHive
• Reglas: YARA, Sigma, Snort/Suricata rules
• Feeds: abuse.ch (MalwareBazaar, ThreatFox, URLhaus), OTX

Top 10 herramientas que debes conocer primero

Si estás empezando y la lista de 400+ herramientas te abruma, estas son las 10 que cubren el 80% de los escenarios:

#	Herramienta	Para qué	Tipo
1	Ghidra	Análisis estático, decompilación	Gratuito (NSA)
2	x64dbg	Debugging dinámico	Open source
3	CAPEv2	Sandbox automatizado	Open source
4	Volatility 3	Análisis de memoria	Open source
5	YARA	Reglas de detección	Open source
6	Wireshark	Análisis de tráfico	Open source
7	Process Monitor	Monitorización de sistema	Gratuito (MS)
8	FLOSS	Extracción de strings ofuscadas	Open source (Mandiant)
9	oletools	Análisis de documentos Office	Open source
10	pefile	Parsing de ejecutables PE	Open source

Cómo navegar la lista eficientemente

No intentes leerla de arriba a abajo. Usa Ctrl+F con el tipo de tarea que necesitas resolver: "sandbox", "packer", "decompiler", "network".

Verifica antes de adoptar. Haz clic en cada repo y comprueba: último commit (activo?), número de issues abiertas, documentación, licencia. Un repo con 3 años sin commits probablemente tiene vulnerabilidades sin parchear.

Busca alternativas. Para cada categoría hay 5-15 opciones. No te quedes con la primera. Lee las descripciones y elige la que mejor encaje con tu stack y tu nivel.

Contribuye. Si encuentras una herramienta que falta, abre un PR. Las awesome lists viven de la comunidad.

Limitaciones de la lista

• Sin evaluación de calidad: lista herramientas sin distinguir entre proyectos maduros y prototipos
• Sesgo hacia Windows: la mayoría de herramientas son para análisis de PE/Windows. Linux y macOS tienen menos cobertura
• Sin workflows: no explica cómo combinar herramientas en un pipeline de análisis completo
• Mantenimiento irregular: algunas secciones se actualizan más que otras

Alternativas

Recurso	Foco
awesome-reverse-engineering	RE más amplio (no solo malware)
awesome-threat-intelligence	CTI, feeds, plataformas
awesome-incident-response	DFIR específicamente
Repositorios en esta serie	Análisis por categoría con evaluación de calidad

Veredicto

awesome-malware-analysis es tu punto de partida, no tu destino. Úsala para descubrir herramientas, luego profundiza en las que necesitas. Los siguientes artículos de esta serie analizan cada categoría en detalle con evaluación de calidad, comparativas y recomendaciones de integración.