Static Reverse Engineering SRE
1.0.0
SREは、マルウェアサンプルと不審な実行可能ファイルの静的な反転と分析のために、PEファイル(exe、dll)を分析し、実行せずに貴重なデータを抽出するように設計されています。悪意のあるインフラストラクチャ、ライブラリなどを特定し、このツールによって生成されたAnalysis_Result_BinaryFileNameディレクトリの下でテキストファイルとして結果を生成するための包括的な分析手法で構築されています。
静的分析:次の9つのモジュールにわたって指定されたバイナリファイルで徹底的な静的分析を実行し、バイナリファイルの疑わしい特性、悪意のある行動、および潜在的なリスクに関する広範な知識を提供します。
200以上のチェックポイント:これらの9つの異なる9モジュールには、バイナリファイルの包括的なデータを提供することを目的とした、幅広い分析手法をカバーする200を超えるチェックポイントが含まれています。
TextFileベースの出力:ツールは、分析結果をテキストファイルとして保存します。この形式は、収集された情報の簡単な読み取り可能な形式、レビュー、およびさらなる分析を容易にするために選択されます。アナリストがデータを効率的に検索、フィルタリング、処理できるようになります。また、カスタム「Yaraルール」を簡単に書くことができます。
利点:
制限:
pip install - r requirements . txt必要な場合に備えて、要件としてのPythonパッケージの完全なリストを以下に示します。
Virustotal APIキーは、 configディレクトリの下の「api_key.txt」ファイルにパルスする必要があります。
また、 Config Directoryの下に配置されたYaraルールファイルを確認してください。
Linux端子用
$ python3 SRE . py [ options ] [ filename ]Windows CMD Promopt用
> python3 SREwin . py [ options ] [ filename ] arguments:
filename ~state file path [to scan single file] or state folder path [to scan multiple files]
options:
-h, --help show this help message and exit
-V, --verbose enable verbose terminal output
-f, --file check the file type only (before analyse)
-v, --version show version info
-i, --info show author, email and url info
-l, --license show license info
ヒント:バイナリファイルの名前が「malware.exe」として、 「malware_exe」と名前を変更して意味のある出力ディレクトリとファイル名を作成することをお勧めします。
