MicroSCOPE

Microscope هو برنامج تم تطويره من خلال لغة البرمجة GO التي تسمح بالكشف عن فئة دقيقة من البرامج الضارة. تم تصميم البرنامج خصيصًا لفئة من البرامج الضارة التي تسمى Ransomware التي تتكون عملها من تشفير البيانات والطلب الفدية من أجل الوصول إلى المحتوى مرة أخرى.

على وجه الخصوص ، تم تطوير المجهر ليكون قادرًا على دعم اثنين من التنسيقات المستخدمة بشكل أساسي: تنسيق PE ( قابل للتنفيذ ) لمنصات Windows و ELF ( تنفيذ القابلة للتنفيذ والربط ) للمنصات المستندة إلى UNIX. من خلال تطبيق بعض الاستدلال ، يكون المجهر قادرًا على تعيين درجة تتوافق مع مستوى خطورة الملف الذي يجري تحليله. كلما ارتفعت النتيجة ، زادت الخصائص المتشابهة التي سيعرضها البرنامج إلى Ransomware التي تمت دراستها بالفعل. تم استقراء الاستدلال من العديد من دراسات الحالة وسيتم تحسينها مع مرور الوقت.

• analysis : المجلد المتعلق بالتحليل الثنائي للثنائيات (بما في ذلك المراحل المختلفة من المجهر)
• docs : مجلد يحتوي على وثائق لمشروع المجهر.
• formats : المجلد المتعلق بتنسيقات الملفات الثنائية (ELF و PE) بما في ذلك الثوابت ، والشيكات وتحليل الثنائي ؛
• heuristics : الاستدلال الفعلي.
• utils : المرافق العامة

التحليل الذي يؤديه المجهر له ثلاث خطوات رئيسية:

• تعدين البيانات : تحليل متعمق للملف الثنائي بناءً على نوع التمديد الخاص به (على سبيل المثال: ما إذا كان ملف PE أو ELF) ، والسلاسل الاستقراء ، والوظائف التي يستخدمها وأي معلومات أخرى يمكن أن تكون مفيدة للتنبؤ بتنفيذ البرنامج ؛
• تطبيق الاستدلال : بناءً على المعلومات المستقاة من المرحلة الأولى ، يتم تطبيق الاستدلال لمعرفة كيفية تصرف البرنامج عند تنفيذها. في هذه المرحلة ، يتم حساب درجة (ملخص من الدرجات المختلفة من الاستدلال) ؛
• تحديد النتيجة : بناءً على النتيجة وفوق قيمة معينة (تسمى قيمة العتبة - المعرفة من قبل المستخدم) ، سيقوم المجهر بربط درجة معينة بسلوك ضار ؛

قم بتنزيل أحدث إصدار ثم قم بتشغيله باستخدام Flag -f لتحديد ملف الإدخال (يجب أن يكون PE أو ELF صالحًا).

 ./microscope -f my_executable_ransomware