Static Reverse Engineering SRE
1.0.0
تم تصميم SRE لتشريح ملفات PE (EXE ، DLL) للانعكاس الثابت وتحليل عينات البرامج الضارة والعاملين التنفيذيين المشبوهة ، واستخراج البيانات القيمة دون تنفيذ. تم تصميمه بتقنيات تحليل شاملة لتحديد البنية التحتية والمكتبات الخبيثة وما إلى ذلك ، وإنشاء النتائج كملفات نصية ضمن دليل التحليل analys_result_binaryfilename الذي تم إنشاؤه بواسطة هذه الأداة ، والتي تعد مفيدة لتحليل مزيد من التعمق ، أو التحليل الديناميكي أو كتابة تقرير فني مفصل.
التحليل الثابت: يقوم بتحليل ثابت شامل على الملفات الثنائية المعطاة عبر الوحدات التسع التالية ويوفر معرفة واسعة بالخصائص المشبوهة للملف الثنائي والسلوكيات الخبيثة والمخاطر المحتملة.
200+ نقاط تفتيش: هذه الوحدات التسعة المتميزة 9 تشمل أكثر من 200 نقطة تفتيش تغطي مجموعة واسعة من تقنيات التحليل ، تهدف إلى توفير بيانات شاملة للملف الثنائي.
الإخراج القائم على TextFile: تقوم الأداة بحفظ نتيجة التحليل كملف نصي. يتم اختيار هذا التنسيق لتسهيل التنسيق القابل للقراءة والمراجعة ، ومزيد من التحليل للمعلومات التي تم جمعها. يسمح للمحللين بالبحث والتصفية ومعالجة البيانات بكفاءة. كما يجعل من السهل جدًا كتابة "قواعد Yara" المخصصة.
المزايا:
القيود:
pip install - r requirements . txt فيما يلي القائمة الكاملة لحزم Python كمتطلبات ، في حالة حاجة إليها.
يحتاج مفتاح واجهة برمجة تطبيقات Virustotal إلى التضليل في ملف "api_key.txt" ضمن دليل التكوين .
تأكد أيضًا من وضع ملفات قاعدة Yara ضمن دليل التكوين .
لمحطة Linux
$ python3 SRE . py [ options ] [ filename ]لنظام التشغيل Windows CMD Promopt
> python3 SREwin . py [ options ] [ filename ] arguments:
filename ~state file path [to scan single file] or state folder path [to scan multiple files]
options:
-h, --help show this help message and exit
-V, --verbose enable verbose terminal output
-f, --file check the file type only (before analyse)
-v, --version show version info
-i, --info show author, email and url info
-l, --license show license info
نصيحة : إذا كان اسم الملف الثنائي كـ "malware.exe" ، موصى به لإعادة تسمية "malware_exe" لإنشاء دليل إخراج ذي معنى وأسماء الملفات.
