florentino

سميت فلورنتينو على اسم محارب خيالي.

Flarentino: "I'd wear a fedora but they haven't invented them yet"

بصفته الوريث الوحيد لبيت العطور ، كانت مغامرات فلورنتينو الرومانسية معروفة مثل كراته الفخمة ....

فلورنتينو: "Ah... relationships are such a bother"

فلورنتينو هو إطار تحليل الملفات عبر المنصات. مفيد لاستخراج الموارد الثابتة من malwares وتحليل الملف غير المعروف.

يمكنه مساعدة محللي البرامج الضارة والباحثين الأمن في الحصول على نظرة سريعة على ملف غير معروف. لا يستطيع الفوز بحرب كبيرة وحده ؛ لهذا السبب يدعو أصدقائه للمساعدة في محاربة الأشرار. لذلك يدعو هؤلاء الأصدقاء (الاعتمادات):

• جولانج
• يموت
• Iocextract
• virustotal
• خيط
• سلاسل

بدونهم ، كانت حرب ضائعة من البداية.

في أي وقت نريد تحليل ملف غير معروف ، هناك بعض الخطوات التي تهدف تقريبًا فلورنتينو إلى أتمتة بعض هذه الخطوات المملة حتى يتمكن المحلل من التحرك بشكل أسرع مع التحليل اليدوي والديناميكي.

فلورنتينو: "Flowers, women – I desire all that is beautiful."

فلورنتينو مكتوب في GO ، وهو سريع!. يمكنك تشغيله قبل أي أداة أخرى في سلسلتك للحصول على فهم جيد لملفك المستهدف. في معظم الأوقات ، كل ما تحتاجه لتحديد ما إذا كان الملف ضارًا أم لا!

1- محرك الكشف عن الملفات

بفضل Die ، يمكن لـ Florentino اكتشاف مئات أنواع الملفات.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

بجانب الكشف عن الملفات ، تم تنفيذ الكشف عن الانتروبيا والباكر أيضًا.

2- محرك المسح

يمكن أن تعمل فلورنتينو مصادر مختلفة لتحليل الملف.

• Virustotal: نتحقق من ذلك للحصول على تقرير موجود
• السلاسل والمسح الضوئي IOC: يأخذها فلورنتينو ؛ علاوة على ذلك ، سيتم استخلاص السلاسل والمسح الضوئي وربما deobfuscate من الملفات الثنائية
• المسح الثنائي: يمكن أن تعمل فلورنتينو مع ملفات PE X86/X64 و Macho X86/X64 و ELF X86/X64 التي ستحصل على رمز ومكتبات مستوردة

3- اكتشاف باكر وتفريغه

• حاليا فقط دعم ملفات PE x86
• تفريغ المحرك: unpac.me

4- تقرير

• يتم تخزين جميع التقارير كملف نصي في /دليل البيانات

يرجى ملاحظة أن فلورنتينو ليس جناحًا عكسيًا وهدفه الوحيد هو تثبيت التحليل الأول على أن فلورنتينو معياري وسهل تمديده بأدواتك الخاصة.

Flarentino: Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-alpha

Flarentino: "You have bad form my friend."

تحقق من الوثائق في /docs/readme.md

دعنا ندير فلورنتينو ضد Trending Millions Dollar Ransomware تسمى Ryuk.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

بعد دقيقة واحدة أو نحو ذلك ، نتحقق /مجلد البيانات

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• الآن في أقل من 3 دقائق ، نعلم بالفعل برامج الفدية ، إنها ليست معبأة ، لقد فكنا الطبقة الأولى من الأوتار المذهلة ، وقد استخرجنا بالفعل طريقة الثبات.
• يرجى مراعاة أن هذا غير جاهز للإنتاج ، فإن النقطة الرئيسية لإصدار ذلك هي إظهار كيف يمكنك تحقيق نتائج مماثلة. يمكن أن تتحسن الرمز بشكل كبير.

فلورنتينو: "HaHa, A wonderful day for a duel among gentlemen."

• أضف وحدة نمطية أو إصلاح شيء ما ثم سحب الطلب.
• إمكانية التحسينات التي لا نهاية لها:
  • أضف واجهة مستخدم الويب
  • قم بتوصيله بقاعدة بيانات علائقية/NOSQL
  • تحليل كل ثنائي إلى أعمق تفاصيلها
  • دمج R2 كما يوفر تفكك
  • ...
• شاركه مع من تعتقد أنه يمكنه استخدامه.
• قم بعمل إضافي وشارك النتائج التي توصلت إليها مع المجتمع ♥

البرامج الضارة تقاتل حكاية الوكيل تسلا

تحليل البرامج الضارة رهيبة

عكس رائع

تم ترخيص المشروع بموجب ترخيص wtfpl .