Static Reverse Engineering SRE

O SRE foi projetado para dissecar os arquivos PE (EXE, DLL) para reversão estática e análise de amostras de malware e executáveis ​​suspeitos, extraindo os dados valiosos sem execução. Ele é construído com técnicas abrangentes de análise para identificar infraestrutura maliciosa, bibliotecas etc., e gerar resultados como arquivos de texto no diretório Analysal_Result_BinaryFilename gerado por esse ferramenta, que são úteis para uma análise aprofundada personalizada, análises dinâmicas ou para escrever um relatório técnico detalhado.

Análise estática: realiza uma análise estática completa sobre os arquivos binários fornecidos nos nove módulos a seguir e fornece um amplo conhecimento das características suspeitas do arquivo binário, comportamentos maliciosos e riscos potenciais.

• Analisar integridade
• Analisar metadados
• Detecção dos Packers
• Analisar APIs
• Strings analisam
• Extração do IOCS
• Comportamento malicioso analise
• Desassociação despejada
• Verificação VIRUSTOTAL <NOTA: Isso não enviará as amostras para Vt.>

Mais de 200 pontos de verificação: Esses nove módulos distintos 9 abrangem mais de 200 pontos de verificação que cobrem uma ampla gama de técnicas de análise, com o objetivo de fornecer dados abrangentes do arquivo binário.

Saída baseada no arquivo de texto: a ferramenta salva o resultado da análise como arquivo de texto. Este formato é escolhido para facilitar o formato fácil de fazer, revisão e uma análise adicional das informações coletadas. Ele permite que os analistas pesquisem, filtrem e processem os dados com eficiência. Também facilita muito o escrito de 'regras Yara' personalizadas.

Vantagens:

• A ferramenta completa da linha de comando com arquivos de texto como saída. <primeiro é gentil, eu acho!>
• Os arquivos de texto de resultado são úteis para analisar melhor os resultados, criar um relatório detalhado e escrever regras YARA personalizadas. Eles também são muito úteis durante a análise dinâmica da amostra.
• É uma ferramenta de linha de comando fácil de usar, automatizar ainda mais e personalizar para pesquisas de análise dinâmica mais aprofundadas.

Limitações:

• Nenhuma GUI trata! É tudo linha de comando.
• Suporta apenas o exe, formatos de arquivo DLL (a partir de agora).
  
  

• Python 3.10 e acima.
  
• Use o arquivo ' requisitos.txt ' para os pacotes de instalação pré-requisito e eles serão instalados usando:
  

 pip install - r requirements . txt

• Aqui está a lista completa de pacotes Python como requisitos, caso você precise.
  

  • re, matemática, magia, yara
  • OS, SYS, subprocesso, plataforma
  • Pefile, Lief
  • JSON, Solicitações
  • DateTime, tempo
  • Hashlib, Argparse

• A chave da API Virustototal precisa ser empalidecida no arquivo 'api_key.txt' no diretório de configuração .
  

• Verifique também se os arquivos da regra Yara colocados no diretório de configuração .
  
  

para terminal Linux

$ python3 SRE . py [ options ] [ filename ]

Para Windows CMD Promopt

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

Dica : se o nome do arquivo binário como 'malware.exe' , recomendado para renomear como 'malware_exe' para criar diretórios de saída significativos e nomes de arquivos.