Beranda>Kode sumber JSP>Kategori lainnya
Unduh

Dr.Semu

Dr.Semu menjalankan executable dalam lingkungan yang terisolasi, memantau perilaku suatu proses, dan berdasarkan aturan Dr.Semu yang dibuat oleh Anda atau masyarakat, mendeteksi apakah prosesnya berbahaya atau tidak.

drsemu_lua

[Alat ini berada di tahap pengembangan awal]

whoami: @_qaz_qaz

Dengan Dr.Semu Anda dapat membuat aturan untuk mendeteksi malware berdasarkan perilaku dinamis suatu proses.

Isolasi melalui pengalihan

Semuanya terjadi dari mode pengguna. Sistem File Proyeksi Windows (ProJFS) digunakan untuk menyediakan sistem file virtual . Untuk pengalihan registri, ia mengklon semua sarang registri ke lokasi baru dan mengarahkan semua akses registri.

Lihat kode sumber untuk lebih lanjut tentang pengalihan lain (isolasi proses/objek, dll).

Pemantauan

Dr.Semu menggunakan Dynamorio (Dynamic Instrumentation Tool Platform) untuk mencegat utas saat akan melewati garis pengguna-Kernel. Ini memiliki efek yang sama dengan mengaitkan SSDT tetapi dari mode pengguna dan tanpa mengaitkan apa pun.

Pada fase ini, Dr.Semu menghasilkan file JSON, yang berisi informasi dari intersepsi.

Deteksi

Setelah mengakhiri proses, berdasarkan aturan Dr.Semu yang kami terima jika executable terdeteksi sebagai malware atau tidak.

Aturan/deteksi Dr.Semu

Aturan Dr.Semu

Mereka ditulis dalam Python atau LUA (terletak di bawah dr_rules ) dan menggunakan informasi dinamis dari intersepsi dan informasi statis tentang sampel. Ini sepele untuk menambah dukungan bahasa lain.

drsemu_rule_python

Contoh ( Python ): https://gist.github.com/secrary/ac89321b8a7bde998a6e3139be49eb72

Contoh ( Lua ): https://gist.github.com/secrary/e16daf698d466136229dc417d7dbcfa3

Penggunaan

  • Gunakan PowerShell untuk mengaktifkan ProjFS di jendela PowerShell yang ditinggikan:

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

  • Unduh dan ekstrak file zip dari halaman rilis

  • Unduh DynamoRIO dan ekstrak ke folder DrSemu dan ganti nama menjadi dynamorio

  • Pasang Python 3 x64

DrSemu.exe --target file_path

DrSemu.exe --target files_directory

Demo

Demo Drsemu

MEMBANGUN

  • Gunakan PowerShell untuk mengaktifkan ProjFS di jendela PowerShell yang ditinggikan:

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

PowerShell

  • Pasang Python 3 x64

  • Unduh DynamoRIO dan ekstrak ke dalam folder bin dan ganti nama menjadi dynamorio

  • Bangun pe-parser-library.lib :

    • Menghasilkan vs proyek dari DrSemushared_libspe_parse menggunakan cmake-gui
    • Bangun Perpustakaan 32-Bit Di Bawah build ( shared_libspe_parsebuildpe-parser-libraryRelease ) dan 64-bit satu di bawah build64
    • Ubah opsi perpustakaan run-time menjadi Multi-threaded ( /MT )

  • Atur LauncherCLI sebagai Proyek Startup

Todo

  • Selesaikan masalah terkait isolasi
  • Meningkatkan sinkronisasi
  • Perbarui deskripsi, tambahkan detail lebih lanjut
  • Buat GUI untuk alat ini

Batasan

  • Versi Windows Minimum yang Didukung: Windows 10 , Versi 1809 (karena Windows Projected File System )
  • Versi Windows yang Didukung Maksimum: Windows 10 , Versi 1809 ( DynamoRIO mendukung versi Windows 10 hingga 1809 )
Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua