MicroSCOPE

Microscope adalah program perangkat lunak yang dikembangkan melalui bahasa pemrograman GO yang memungkinkan untuk mendeteksi kategori perangkat lunak berbahaya yang tepat. Program ini dirancang khusus untuk kelas program jahat yang disebut ransomware yang operasinya terdiri dari enkripsi data dan permintaan tebusan untuk mendapatkan akses ke konten lagi.

Secara khusus, mikroskop dikembangkan untuk dapat mendukung dua format yang terutama digunakan: format PE ( Portable Executable ) untuk platform Windows dan ELF ( dapat dieksekusi dan menghubungkan format ) untuk platform berbasis UNIX. Melalui penerapan heuristik tertentu, mikroskop dapat menetapkan skor yang sesuai dengan tingkat bahaya file yang dianalisis. Semakin tinggi skor, semakin mirip karakteristik perangkat lunak yang akan dipamerkan untuk ransomware yang telah dipelajari. Heuristik telah diekstrapolasi dari berbagai studi kasus dan akan ditingkatkan dari waktu ke waktu.

• analysis : Folder Terkait dengan Analisis Statis Binari (termasuk berbagai fase mikroskop)
• docs : Folder yang berisi dokumentasi proyek mikroskop.
• formats : Folder yang terkait dengan format file biner (ELF dan PE) termasuk konstanta, cek dan penguraian biner;
• heuristics : Heuristik yang sebenarnya.
• utils : utilitas umum

Analisis yang dilakukan oleh mikroskop memiliki tiga langkah utama:

• Data Mining : Analisis mendalam dari file biner berdasarkan jenis ekstensi (misalnya: apakah file PE atau ELF), ekstrapolasi string, fungsi yang digunakannya dan informasi lain yang berpotensi berguna untuk memprediksi pelaksanaan program;
• Penerapan heuristik : Berdasarkan informasi yang diekstrapolasi dari tahap pertama, heuristik diterapkan untuk mencari tahu bagaimana program akan berperilaku ketika dieksekusi. Pada tahap ini, skor (penjumlahan dari berbagai skor heuristik) dihitung;
• Penentuan hasil : Berdasarkan skor dan di atas nilai tertentu (disebut nilai ambang batas - yang ditentukan pengguna), mikroskop akan mengaitkan skor tertentu dengan perilaku jahat;

Unduh rilis terbaru dan kemudian jalankan dengan flag -f untuk menentukan file input (harus menjadi PE atau ELF yang dapat dieksekusi).

 ./microscope -f my_executable_ransomware