Static Reverse Engineering SRE

SRE está diseñado para diseccionar los archivos PE (EXE, DLL) para la inversión estática y el análisis de muestras de malware y ejecutables sospechosos, extrayendo los datos valiosos sin ejecución. Está construido con técnicas de análisis integrales para identificar infraestructura maliciosa, bibliotecas, etc., y generar resultados como archivos de texto en el directorio Analyson_Result_BinaryFilename generado por esta herramienta, que son útiles para un análisis más profundo personalizado, análisis dinámico o para escribir un informe técnico detallado.

Análisis estático: realiza un análisis estático completo en los archivos binarios dados en los siguientes nueve módulos y proporciona un amplio conocimiento de las características sospechosas del archivo binario, comportamientos maliciosos y riesgos potenciales.

• Análisis de integridad
• Análisis de metadatos
• Detección de empacadores
• APIS analizar
• Strings analizar
• Extracción de COI
• Análisis de comportamiento malicioso
• Basurero
• Virustotal Check <Nota: Esto no enviará las muestras a VT.>

Más de 200 puntos de control: estos nueve módulos distintos de 9 son más de 200 puntos de control que cubren una amplia gama de técnicas de análisis, con el objetivo de proporcionar datos completos del archivo binario.

Salida basada en el archivo de texto: la herramienta guarda el resultado del análisis como archivo de texto. Este formato se elige para facilitar el formato fácil y el análisis de formato fácil de referencia y un análisis más detallado de la información recopilada. Permite a los analistas buscar, filtrar y procesar los datos de manera eficiente. También hace que sea muy fácil escribir 'reglas Yara' personalizadas.

Ventajas:

• La herramienta completa de línea de comandos con archivos de texto como salida. <Primero es amable, supongo!>
• Los archivos de texto de resultados son útiles para analizar más a fondo los resultados, crear un informe detallado y escribir reglas de Yara personalizadas. También son muy útiles durante el análisis dinámico de la muestra.
• Es una herramienta de línea de comandos que es fácil de usar, automatizar aún más y personalizar para una investigación de análisis dinámico más profundo.

Limitaciones:

• ¡No hay golosinas de GUI! Todo es línea de comandos.
• Admite solo formados de archivo EXE, DLL (a partir de ahora).
  
  

• Python 3.10 y superior.
  
• Use el archivo ' requisitos.txt ' para los paquetes de instalación previos al requisito y se instalarán utilizando:
  

 pip install - r requirements . txt

• Aquí está la lista completa de paquetes de Python como requisitos, en caso de que lo necesite.
  

  • Re, matemáticas, magia, yara
  • OS, SYS, subproceso, plataforma
  • PeFile, Lief
  • JSON, solicitudes
  • DateTime, Tiempo
  • Hashlib, Argparse

• La clave de API virustotal debe ser palidecida en el archivo 'api_key.txt' en el directorio de configuración .
  

• También asegúrese de que los archivos de regla de Yara se colocen en el directorio de configuración .
  
  

para la terminal de Linux

$ python3 SRE . py [ options ] [ filename ]

para Windows CMD Promopt

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

Consejo : si el nombre del archivo binario como 'malware.exe' , se recomienda cambiar el nombre de 'malware_exe' para crear un directorio de salida y nombres de archivo significativos.