Static Reverse Engineering SRE

SRE предназначен для распространения файлов PE (EXE, DLL) для статического обращения и анализа образцов вредоносных программ и подозрительных исполняемых файлов, извлечение ценных данных без выполнения. Он построен с помощью комплексных методов анализа для идентификации вредоносной инфраструктуры, библиотек и т. Д., И генерировать результаты в качестве текстовых файлов в рамках каталога Analysis_Result_binaryFilename , сгенерированного этим инструментом, которые полезны для дальнейшего пользовательского анализа, динамического анализа или для написания подробного технического отчета.

Статический анализ: выполняет тщательный статический анализ данного бинарного файла (ы) в следующих девяти модулях и обеспечивает обширные знания о подозрительных характеристиках бинарного файла, злонамеренном поведении и потенциальных рисках.

• Анализ целостности
• Метаданные анализировать
• Обнаружение упаковщиков
• API -анализ
• Строки анализируются
• Iocs добыча
• Анализ злонамеренного поведения
• Разборка свалки
• Вирустотальная проверка <Примечание: это не отправит образцы в VT.>

200+ контрольных точек: эти девять различных 9 модулей включают более 200 контрольных точек, которые охватывают широкий спектр методов анализа, направленные на предоставление полных данных двоичного файла.

Вывод на основе текстового файла: инструмент сохраняет результат анализа в виде текстового файла. Этот формат выбирается для облегчения простого читаемого формата, обзора и дальнейшего анализа собранной информации. Это позволяет аналитикам выполнять поиск, фильтровать и эффективно обрабатывать данные. Также очень легко писать пользовательские «правила Yara» .

Преимущества:

• Полный инструмент командной строки с текстовыми файлами в качестве вывода. <Первый из этого, я думаю!>
• Файлы текста результата полезны для дальнейшего анализа результатов, создания подробного отчета и написания пользовательских правил Yara. Они также очень удобны во время динамического анализа образца.
• Это инструмент командной строки, который прост в использовании, автоматизируется дальше и настраивается для более глубокого исследования динамического анализа.

Ограничения:

• Никакого графического интерфейса! Все это командная линия.
• Поддерживает только формы файлов DLL, на данный момент).
  
  

• Python 3.10 и выше.
  
• Используйте файл ' tedding.txt ' для предварительных условий установки, и они будут установлены с использованием:
  

 pip install - r requirements . txt

• Вот полный список пакетов Python в качестве требований, если вам это нужно.
  

  • re, математика, магия, Yara
  • ОС, SYS, подпроцесс, платформа
  • Pefile, Lief
  • json, просьбы
  • DateTime, время
  • Hashlib, Argparse

• Ключ API Virustotal должен быть введен в файл «API_KEY.TXT» в Directory Config .
  

• Также убедитесь, что файлы правил Yara, размещенные в Directory Config .
  
  

Для терминала Linux

$ python3 SRE . py [ options ] [ filename ]

Для Windows CMD PROMOPT

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

Совет : если имя двоичного файла как «malware.exe» , рекомендуется переименовать как «malware_exe» для создания значимого каталога вывода и имен файлов.