Static Reverse Engineering SRE

SRE wurde entwickelt, um die PE -Dateien (EXE, DLL) für die statische Umkehrung und Analyse von Malware -Proben und verdächtigen ausführbaren Ausführungen zu sezieren und die wertvollen Daten ohne Ausführung zu extrahieren. Es wird mit umfassenden Analysetechniken erstellt, um böswillige Infrastruktur, Bibliotheken usw. zu identifizieren und Ergebnisse als Textdateien unter dem Verzeichnis Analysis_Result_BinaryFileName zu generieren, das durch dieses Tool generiert wird. Dies ist nützlich für die weitere benutzerdefinierte eingehende Analyse, eine dynamische Analyse oder ein detailliertes technisches Bericht.

Statische Analyse: führt eine gründliche statische Analyse der angegebenen Binärdateien in den folgenden neun Modulen durch und vermittelt ein umfassendes Wissen über die verdächtigen Eigenschaften der Binärdateien, böswillige Verhaltensweisen und potenzielle Risiken.

• Integritätsanalyse
• Metadaten analysieren
• Erkennung von Packern
• APIS analysieren
• Saiten analysieren
• IOCs Extraktion
• Bösartige Verhaltensanalyse
• Dump -Demontage
• Virustotal Check <Hinweis: Dadurch wird die Proben nicht an Vt.> Übermittelt.>

200+ Checkpoints: Diese neun unterschiedlichen 9 Module umfassen mehr als 200 Kontrollpunkte, die eine breite Palette von Analysetechniken abdecken, die darauf abzielen, umfassende Daten der Binärdatei bereitzustellen.

Textfile -basierte Ausgabe: Das Tool speichert das Analyseergebnis als Textdatei. Dieses Format wird ausgewählt, um eine einfache lesbare Format, Überprüfung und weitere Analyse der gesammelten Informationen zu ermöglichen. Analysten können die Daten effizient suchen, filtern und verarbeiten. Macht es auch sehr einfach, benutzerdefinierte "yara Regeln" zu schreiben.

Vorteile:

• Das vollständige Befehlszeilen-Tool mit Textdateien als Ausgabe. <Erstens ist es freundlich, denke ich!>
• Die Outcome -Textdateien sind nützlich, um die Ergebnisse weiter zu analysieren, einen detaillierten Bericht zu erstellen und benutzerdefinierte YARA -Regeln zu schreiben. Sie sind auch während der dynamischen Analyse der Probe sehr praktisch.
• Es handelt sich um ein Befehlszeilen-Tool, das einfach zu verwenden, automatisieren und sich für eine detailliertere dynamische Analyseforschung anpassen kann.

Einschränkungen:

• Keine GUI -Leckereien! Es ist alles Befehlszeile.
• Unterstützt nur Exe, DLL -Dateiformates (ab sofort).
  
  

• Python 3.10 und höher.
  
• Verwenden Sie " Anforderungen.txt " -Datei für die vorauserwidrigen Installationspakete und sie werden mit:
  

 pip install - r requirements . txt

• Hier finden Sie die vollständige Liste der Python -Pakete als Anforderungen, falls Sie sie benötigen.
  

  • Re, Mathe, Magie, Yara
  • Betriebssystem, Sys, Subprozess, Plattform
  • Pefile, Lief
  • JSON, Anfragen
  • datetime, Zeit
  • Hashlib, Argparse

• Der Virustotal -API -Schlüssel muss in der Datei 'api_key.txt' im Konfigurationsverzeichnis abgeschaltet werden.
  

• Stellen Sie außerdem sicher, dass Yara -Regeldateien im Konfigurationsverzeichnis platziert sind.
  
  

Für Linux -Terminal

$ python3 SRE . py [ options ] [ filename ]

Für Windows CMD Prompt

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

Tipp : Wenn der Name der Binärdatei als "Malware.exe" der Name der Binärdatei als "Malware_exe" umbenannt wird, um ein aussagekräftiges Ausgabeverzeichnis und die Dateinamen zu erstellen.