MicroSCOPE

현미경은 GO 프로그래밍 언어를 통해 개발 된 소프트웨어 프로그램으로, 정확한 범주의 악성 소프트웨어를 감지 할 수 있습니다. 이 프로그램은 컨텐츠에 다시 액세스하기 위해 데이터 암호화 및 랜섬 요구로 구성된 랜섬웨어 라는 악의적 인 프로그램을 위해 특별히 설계되었습니다.

특히, 현미경은 Windows 플랫폼 용 PE ( 휴대용 실행 파일 ) 형식 중 하나와 UNIX 기반 플랫폼의 ELF ( 실행 가능 및 연결 형식 )의 두 가지 형식을 지원할 수 있도록 개발되었습니다. 특정 휴리스틱의 적용을 통해 현미경은 분석중인 파일의 위험성 수준에 해당하는 점수를 할당 할 수 있습니다. 점수가 높을수록 소프트웨어가 이미 연구 된 랜섬웨어에 더 유사한 특성을 나타냅니다. 휴리스틱은 수많은 사례 연구에서 추정되었으며 시간이 지남에 따라 개선 될 것입니다.

• analysis : 바이너리의 정적 분석과 관련된 폴더 (현미경의 다양한 단계 포함)
• docs : 현미경 프로젝트의 문서를 포함하는 폴더.
• formats : 바이너리 파일 형식 (ELF 및 PE)과 관련된 폴더, 이진의 상수, 검사 및 구문 분석을 포함한 폴더;
• heuristics : 실제 휴리스틱.
• utils : 일반 유틸리티

현미경으로 수행 된 분석에는 세 가지 주요 단계가 있습니다.

• 데이터 마이닝 : 확장 유형 (예 : PE 또는 ELF 파일 여부), 외삽 문자열, 사용 기능 및 프로그램 실행을 예측하는 데 잠재적으로 유용한 기타 정보를 기준으로 이진 파일의 심층 분석;
• 휴리스틱의 적용 : 첫 번째 단계에서 추정 된 정보를 기반으로, 휴리스틱은 프로그램이 실행될 때 어떻게 행동하는지 알아 내기 위해 적용됩니다. 이 단계에서는 점수 (휴리스틱의 다양한 점수의 요약)가 계산됩니다.
• 결과 결정 : 점수와 특정 값 이상 (임계 값 - 사용자 정의)을 기준으로 현미경은 특정 점수를 악의적 인 동작과 연관시킵니다.

최신 릴리스를 다운로드 한 다음 플래그 -f 로 실행하여 입력 파일을 지정하십시오 (유효한 PE 또는 ELF 실행 파일이어야 함).

 ./microscope -f my_executable_ransomware