shed

Shed adalah aplikasi yang memungkinkan untuk memeriksa runtime .NET suatu program untuk mengekstraksi informasi yang bermanfaat. Ini dapat digunakan untuk memeriksa aplikasi berbahaya untuk memiliki gambaran umum pertama tentang informasi mana yang disimpan setelah malware dieksekusi.

Shed mampu:

• Menyuntikkan perakitan .net dalam proses jarak jauh (baik dikelola maupun tidak dikelola)
• Ekstrak semua objek yang disimpan dalam tumpukan terkelola
• Cetak string yang disimpan dalam memori
• Simpan snapshot tumpukan dalam format JSON untuk pasca-pemrosesan
• Buang semua modul yang dimuat dalam memori

• Kode Sumber
• Unduh biner

Shed adalah alat baris perintah. Untuk menampilkan semua opsi yang tersedia, jalankan:

shed.exe --help

Untuk memeriksa proses yang sudah berjalan, Anda harus melewati PID untuk ditumpahkan . Contoh:

Shed.exe --pid 2356

Untuk memeriksa biner, Shed perlu melaksanakannya dan melampirkannya untuk memeriksa runtime. Contoh:

Shed.exe --exe malware.exe

Anda juga dapat menentukan jumlah waktu (dalam milidetik) untuk menunggu sebelumnya untuk menangguhkan proses. Ini akan memungkinkan program memiliki waktu untuk menginisialisasi propertinya. Contoh:

Shed.exe --timeout 2000 --exe malware.exe

Dengan gudang dimungkinkan untuk menyuntikkan perakitan .NET dalam proses jarak jauh berkat perpustakaan ManagedInjector. Untuk melakukannya, perlu untuk menentukan PID proses dan EXE untuk menyuntikkan. Setelah perakitan disuntikkan dimungkinkan untuk mengaktifkannya dengan menggunakan metode tertentu. Aturan untuk mengidentifikasi metode ini diwariskan oleh Proyek ManagedInjector dan sebagai berikut:

• Anda harus menentukan nama metode lengkap untuk meminta (mis. This.is.my.namespace.class.method )
• Anda dapat menyuntikkan yang dapat dieksekusi yang mendefinisikan metode entrypoint untuk dieksekusi (seperti proyek konsol )
• Anda dapat mendefinisikan metode dengan tanda tangan berikut: <Public | Private> Static Void Inject ()

Misalnya, untuk menyuntikkan perakitan yang disuntikkan ke dalam proses dengan PID 1234 , Anda memiliki gudang lari dengan perintah berikut:

shed.exe --pid 1234 --exe InjectedAssembly.dll --inject

Dengan opsi - -Method Anda dapat menentukan metode, dari injectedAssembly.exe untuk meminta.

Temukan di bawah ini contoh eksekusi:

Secara default gudang dump baik heap dan modul. Jika Anda hanya ingin satu dari itu menentukan opsi --dump-heap untuk membuang hanya objek di tumpukan atau- modul-dump untuk membuang hanya modul.

Membuang tumpukan dapat menghasilkan banyak informasi yang tidak sepenuhnya berguna untuk analisis. Anda dapat memfilternya dengan menggunakan dua file:

blacklist.txt file ini berisi awalan nama tipe yang tidak boleh dicatat

whitelist.txt file ini berisi awalan nama jenis yang harus dicatat bahkan jika daftar hitam

Misalnya, jika Anda ingin memfilter semua namespace system.io tetapi Anda tertarik pada logging system.io.memorystream , Anda dapat menambahkan nilai pertama ke blacklist.txt dan yang kedua ke whitelist.txt .

Di folder contoh Anda akan menemukan tiga proyek berbeda yang dapat Anda gunakan untuk menguji gudang . Contoh:

Shed.exe --exe ..ExamplesConfigurationSampleConfigurationSample.exe

Ketika analisis selesai, gudang akan mencetak di mana Anda dapat menemukan hasilnya, seperti yang ditunjukkan di bawah ini:

[+] Hasil disimpan ke c: shed hasil 7800

Jika Anda telah menginstal Visual Studio, cukup jalankan file batch build.bat, itu akan membuat file zip di dalam folder build.

Hak Cipta (C) 2017 Antonio Parata - @S4tan

Lisensi: Lisensi Publik Umum GNU, versi 2 atau lebih baru; Lihat lisensi yang termasuk dalam arsip ini untuk detailnya.