SalSA

브라우저의 Windows PE 파일 파싱 : https://a-rey.github.io/salsa/

문서 : https://github.com/deptofdefense/salsa/wiki

악성 코드 분석 이론은 업계에서 표준화되었습니다. 3 단계로 구성됩니다.

• 정적 분석 - 맬웨어를 실행하지 않습니다
• 동적 분석 - 맬웨어 실행
• 디버깅 - 디버거 (IDA Pro, Olly Debug 등)를 사용하여 맬웨어를 밟아

첫 번째 단계는 종종 줄을 보는 것으로 생각됩니다. 이것은 업계가 정적 분석을 고려하는 것의 작은 부분 일뿐입니다. Strings를 보면 분석가를 작은 하위 집합으로 제한하고 종종 맬웨어 분석 에서이 중요한 단계의 일부를 오도하는 부분을 오도합니다. 정적 맬웨어 분석이 우수한 실행 파일을 빠르게 심화시킬 수 있으므로 동적 분석에서 의심스러운 실행 파이브의 하위 집합을 테스트 할 수 있습니다. 그런 다음 분석가가 동적 분석을 통해 디버깅으로 발전함에 따라 필요한 시간이 급격히 증가하고 수익률이 빠르게 감소합니다. 이 도구는 PE 파일 형식을 구문 분석하고 빠른 Triage를 위해 분석가에게 모든 것을 제시합니다. 또한이 프로젝트는 특정 맬웨어 동작을 확인하는 규칙 목록을 사용하여이를 더욱 발전시킵니다.