Inicio>código fuente JSP>Otras categorias
Descargar

Dr.Semu

Dr.Semu ejecuta ejecutables en un entorno aislado, monitorea el comportamiento de un proceso y, según las reglas Dr.Semu creadas por usted o la comunidad, detecta si el proceso es malicioso o no.

drsemu_lua

[La herramienta está en la etapa de desarrollo temprano]

Whoami: @_qaz_qaz

Con Dr.Semu puede crear reglas para detectar malware en función del comportamiento dinámico de un proceso.

Aislamiento a través de la redirección

Todo sucede desde el modo de usuario. El sistema de archivos proyectados de Windows (ProJFS) se utiliza para proporcionar un sistema de archivos virtual . Para la redirección del registro, clona todas las colmenas de registro a una nueva ubicación y redirige todos los accesos de registro.

Consulte el código fuente para obtener más información sobre otras redirecciones (aislamiento de procesos/objetos, etc.).

Escucha

Dr.Semu usa Dynamorio (plataforma de herramienta de instrumentación dinámica) para interceptar un hilo cuando está a punto de cruzar la línea del kernel de usuario. Tiene el mismo efecto que enganchar SSDT pero desde el modo de usuario y sin enganchar nada.

En esta fase, Dr.Semu produce un archivo JSON, que contiene información de la intercepción.

Detección

Después de terminar el proceso, según las reglas Dr.Semu que recibimos si el ejecutable se detecta como malware o no.

Dr.Semu Reglas/Detecciones

Reglas del Dr.Semu

Están escritos en Python o LUA (ubicado bajo dr_rules ) y usan información dinámica de la intercepción e información estática sobre la muestra. Es trivial agregar el apoyo de otros idiomas.

drsemu_rule_python

Ejemplo ( Python ): https://gist.github.com/secrary/ac89321b8a7bde9998a6e3139be49eb72

Ejemplo ( Lua ): https://gist.github.com/secrary/e16daf698d466136229dc417d7dbcfa33

Uso

  • Use PowerShell para habilitar ProjFS en una ventana elevada PowerShell :

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

  • Descargar y extraer un archivo zip de la página de versiones

  • Descargar DynamoRIO y extraer en la carpeta DrSemu y cambiar el nombre de dynamorio

  • Instale Python 3 x64

DrSemu.exe --target file_path

DrSemu.exe --target files_directory

MANIFESTACIÓN

Demostración de drsemu

CONSTRUIR

  • Use PowerShell para habilitar ProjFS en una ventana elevada PowerShell :

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

powershell

  • Instale Python 3 x64

  • Descargar DynamoRIO y extraer en la carpeta bin y cambiar el nombre de dynamorio

  • Construir pe-parser-library.lib Biblioteca:

    • Genere el proyecto VS desde DrSemushared_libspe_parse usando CMake-Gui
    • Build Biblioteca de 32 bits en build ( shared_libspe_parsebuildpe-parser-libraryRelease ) y uno de 64 bits en build64
    • Cambiar la opción de biblioteca de tiempo de ejecución a Multi-threaded ( /MT )

  • Establezca LauncherCLI como proyecto de inicio

HACER

  • Resolver problemas relacionados con el aislamiento
  • Mejorar la sincronización
  • Actualizar la descripción, agregar más detalles
  • Crear una GUI para la herramienta

Limitaciones

  • Versión mínima de Windows admitido: Windows 10 , versión 1809 (debido al Windows Projected File System )
  • Versión máxima de Windows: Windows 10 , versión 1809 ( DynamoRIO admite versiones Windows 10 hasta 1809 )
Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo