MicroSCOPE

顕微鏡は、悪意のあるソフトウェアの正確なカテゴリの検出を可能にするGOプログラミング言語を通じて開発されたソフトウェアプログラムです。このプログラムは、コンテンツに再びアクセスするために、データの暗号化と身代金の需要で構成されるランサムウェアと呼ばれる悪意のあるプログラムのクラス専用に設計されています。

特に、顕微鏡は、主に使用される2つの形式の2つのフォーマットをサポートできるように開発されました。Windowsプラットフォーム用のPE（ポータブル実行可能ファイル）形式と、UNIXベースのプラットフォーム用のELF（実行可能ファイルおよびリンク形式）です。特定のヒューリスティックの適用を通じて、顕微鏡は分析対象のファイルの危険性のレベルに対応するスコアを割り当てることができます。スコアが高いほど、ソフトウェアはすでに研究されているランサムウェアに対してより類似した特性を示します。ヒューリスティックは多数のケーススタディから外挿されており、時間とともに改善されます。

• analysis ：バイナリの静的分析に関連するフォルダー（顕微鏡のさまざまな段階を含む）
• docs ：顕微鏡プロジェクトのドキュメントを含むフォルダー。
• formats ：バイナリの定数、チェック、解析を含むバイナリファイル形式（ELFおよびPE）に関連するフォルダー。
• heuristics ：実際のヒューリスティック。
• utils ：一般ユーティリティ

顕微鏡で実行される分析には、3つの主な手順があります。

• データマイニング：その拡張タイプ（たとえば、PEまたはELFファイルのいずれか）に基づくバイナリファイルの詳細な分析、使用する文字列、使用機能、およびプログラムの実行を予測するのに潜在的に役立つその他の情報。
• ヒューリスティックの適用：最初の段階から外挿された情報に基づいて、ヒューリスティックが適用され、実行時にプログラムがどのように動作するかを把握します。この段階では、スコア（ヒューリスティックのさまざまなスコアの合計）が計算されます。
• 結果の決定：スコアと特定の値（しきい値 - ユーザー定義と呼ばれる）を超えると、顕微鏡は特定のスコアを悪意のある動作に関連付けます。

最新リリースをダウンロードしてから、FLAG -fで実行して入力ファイルを指定します（有効なPEまたはELF実行可能ファイルである必要があります）。

 ./microscope -f my_executable_ransomware