Static Reverse Engineering SRE

SRE est conçu pour disséquer les fichiers PE (EXE, DLL) pour l'inversion statique et l'analyse des échantillons de logiciels malveillants et des exécutables suspects, en extraction des données précieuses sans exécution. Il est construit avec des techniques d'analyse complètes pour identifier les infrastructures malveillantes, les bibliothèques, etc., et générer des résultats en tant que fichiers texte dans le répertoire analyse_result_binaryFilename généré par cet outil, qui sont utiles pour une analyse approfondie personnalisée, une analyse dynamique ou pour rédiger un rapport technique détaillé.

Analyse statique: effectue une analyse statique approfondie sur le ou les fichiers binaires donnés sur les neuf modules suivants et fournit une connaissance approfondie des caractéristiques suspectes du fichier binaire, des comportements malveillants et des risques potentiels.

• Analyse d'intégrité
• Métadonnées Analyser
• Détection des emballeurs
• API Analyser
• Les cordes analysent
• Extraction des IOC
• Analyser le comportement malveillant
• Député de dissassme
• VIRUSTOTAL CHECK <Remarque: cela ne soumetra pas les échantillons à Vt.>

Plus de 200 points de contrôle: ces neuf 9 modules distincts englobent plus de 200 points de contrôle qui couvrent un large éventail de techniques d'analyse, visant à fournir des données complètes du fichier binaire.

Sortie basée sur TextFile: l'outil enregistre le résultat d'analyse sous forme de fichier texte. Ce format est choisi pour faciliter le format et la révision lisibles faciles, l'examen et l'analyse plus approfondie des informations collectées. Il permet aux analystes de rechercher, de filtrer et de traiter efficacement les données. Rend également très facile d'écrire des «règles Yara» personnalisées.

Avantages:

• L'outil complet de ligne de commande avec des fichiers texte en sortie. <Tout d'abord, je suppose!>
• Les fichiers texte des résultats sont utiles pour analyser plus loin les résultats, créer un rapport détaillé et rédiger des règles YARA personnalisées. Ils sont également très pratiques lors de l'analyse dynamique de l'échantillon.
• Il s'agit d'un outil de ligne de commande facile à utiliser, automatiser davantage et personnaliser pour une recherche d'analyse dynamique plus approfondie.

Limites:

• Pas de friandises GUI! C'est toutes la ligne de commande.
• Prend en charge uniquement les formats EXE, DLL File (à partir de maintenant).
  
  

• Python 3.10 et supérieur.
  
• Utilisez le fichier ' exigences.txt ' pour les packages d'installation de pré-requis et et ils seront installés en utilisant:
  

 pip install - r requirements . txt

• Voici la liste complète des packages Python comme exigences, au cas où vous en avez besoin.
  

  • Re, mathématiques, magie, yara
  • OS, sys, sous-processus, plate-forme
  • pefile, lief
  • JSON, demande
  • DateTime, temps
  • Hashlib, Argparse

• La clé API Virustotal doit être palcée dans le fichier 'API_KEY.txt' sous le répertoire de configuration .
  

• Assurez-vous également que les fichiers de règle YARA placés dans le répertoire de configuration .
  
  

pour le terminal Linux

$ python3 SRE . py [ options ] [ filename ]

pour Windows CMD Promopt

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

Conseil : si le nom du fichier binaire comme «malware.exe» , recommandait de renommer «Malware_exe» pour créer un répertoire de sortie significatif et des noms de fichiers.