الصفحة الرئيسية>كود المصدر JSP>فئات أخرى
تنزيل

Dr.Semu

يدير Dr.Semu التنفيذيين في بيئة معزولة ، ويراقب سلوك العملية ، وبناءً على قواعد Dr.Semu التي أنشأتها أنت أو المجتمع ، تكتشف ما إذا كانت العملية ضارة أم لا.

drsemu_lua

[الأداة في مرحلة التطوير المبكرة]

وامي: _qaz_qaz

مع Dr.Semu يمكنك إنشاء قواعد للكشف عن البرامج الضارة بناءً على السلوك الديناميكي لعملية ما.

العزلة من خلال إعادة التوجيه

كل شيء يحدث من وضع المستخدم. يتم استخدام نظام الملفات المسقطة Windows (ProJFS) لتوفير نظام ملفات virtual . لإعادة توجيه السجل ، يستنسخ جميع خلايا السجل إلى موقع جديد ويعيد توجيه جميع الوصول إلى السجل.

راجع رمز المصدر لمزيد من المعلومات حول إعادة التوجيه الأخرى (عزل العملية/الكائنات ، إلخ).

يراقب

يستخدم Dr.Semu Dynamorio (منصة أداة الأجهزة الديناميكية) لاعتراض مؤشر ترابط عندما يكون على وشك عبور خط kernel المستخدم. له نفس التأثير مثل ربط SSDT ولكن من وضع المستخدم ودون تثبيت أي شيء.

في هذه المرحلة ، ينتج Dr.Semu ملف JSON ، والذي يحتوي على معلومات من الاعتراض.

كشف

بعد إنهاء العملية ، بناءً على قواعد Dr.Semu التي نتلقاها إذا تم اكتشاف القابلة للتنفيذ على أنها برامج ضارة أم لا.

Dr.Semu القواعد/الاكتشافات

قواعد Dr.Semu

يتم كتابتها في Python أو LUA (تقع تحت dr_rules ) وتستخدم معلومات ديناميكية من اعتراض ومعلومات ثابتة حول العينة. من التافهة إضافة دعم اللغات الأخرى.

drsemu_rule_python

مثال ( Python ): https://gist.github.com/secrary/ac89321b8a7bde998a6e3139be49eb72

مثال ( Lua ): https://gist.github.com/secrary/e16daf698d466136229dc417d7dbcfa3

الاستخدام

  • استخدم PowerShell لتمكين ProjFS في نافذة PowerShell مرتفعة:

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

  • قم بتنزيل واستخراج ملف مضغوط من صفحة الإصدارات

  • قم بتنزيل DynamoRIO واستخرج في مجلد DrSemu وإعادة تسميته إلى dynamorio

  • تثبيت Python 3 x64

DrSemu.exe --target file_path

DrSemu.exe --target files_directory

العرض التوضيحي

DRSEMU DEMO

يبني

  • استخدم PowerShell لتمكين ProjFS في نافذة PowerShell مرتفعة:

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

PowerShell

  • تثبيت Python 3 x64

  • قم بتنزيل DynamoRIO واستخرج في مجلد bin وأعد تسمية إلى dynamorio

  • Build pe-parser-library.lib Library:

    • قم بإنشاء مشروع VS من DrSemushared_libspe_parse باستخدام CMAKE-GUI
    • قم ببناء مكتبة 32 بت ضمن build ( shared_libspe_parsebuildpe-parser-libraryRelease ) و 64 بت تحت build64
    • تغيير خيار مكتبة وقت التشغيل إلى Multi-threaded ( /MT )

  • اضبط LauncherCLI كمشروع بدء التشغيل

تودو

  • حل القضايا المتعلقة بالعزلة
  • تحسين التزامن
  • قم بتحديث الوصف ، وأضف المزيد من التفاصيل
  • إنشاء واجهة المستخدم الرسومية للأداة

القيود

  • الحد الأدنى لإصدار Windows المدعوم: Windows 10 ، الإصدار 1809 (بسبب Windows Projected File System )
  • إصدار Windows Maximum المدعوم: Windows 10 ، الإصدار 1809 (يدعم DynamoRIO إصدارات Windows 10 حتى 1809 )
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل