SalSA

Windows PE Arquivo Analisando no navegador: https://a-rey.github.io/salsa/

Documentação disponível em: https://github.com/deptofdefense/salsa/wiki

A teoria da análise de malware foi padronizada na indústria. Consiste em 3 etapas:

• Análise estática - não executando o malware
• Análise dinâmica - executando o malware
• Depuração - Passando pelo malware com um depurador (Ida Pro, Olly Debug, etc)

O primeiro passo é frequentemente considerado apenas olhando para as cordas. Esta é apenas uma pequena parte do que a indústria considera a análise estática. Apenas olhar para as Strings limita o analista a um pequeno subconjunto e muitas vezes enganador dessa etapa vital na análise de malware. A boa análise de malware estático pode trocar rapidamente os executáveis, permitindo que um subconjunto de executáveis ​​suspeitos seja testado em análise dinâmica. Então, à medida que o analista progride através da análise dinâmica para a depuração, a quantidade de tempo exigia aumenta drasticamente e os retornos diminuem rapidamente. Essa ferramenta analisa o formato do arquivo PE e apresenta tudo ao analista para triagem rápida. Além disso, este projeto leva isso adiante usando uma lista de regras que verifica certos comportamentos de malware.