florentino

Флорентино назван в честь художественного воина.

Flarentino: "I'd wear a fedora but they haven't invented them yet"

Как единственный наследник Дома Парки, романтические приключения Флорентино были так же известны, как и его щедрые шары ....

Флорентино: "Ah... relationships are such a bother"

Флорентино-это кроссплатформенная структура анализа файлов. Полезно для извлечения статических ресурсов из Malwares и неизвестного анализа файлов.

Он может помочь аналитикам вредоносных программ и исследователей безопасности быстро взглянуть на неизвестный файл. Хотя он не может выиграть большую войну в одиночку; Вот почему он призывает своих друзей помочь сражаться с плохими парнями. Поэтому он называет этих друзей (кредиты):

• Голанг
• Умирать
• iocextract
• Вирустотальный
• Нити
• Строки

Без них это была потерянная война с начала.

В любое время, когда мы хотим проанализировать неизвестный файл, существует несколько шагов, которые практически идентичны Флорентино стремятся автоматизировать некоторые из этих скучных шагов, чтобы аналитик мог быстрее двигаться с ручным и динамичным анализом.

Флорентино: "Flowers, women – I desire all that is beautiful."

Флорентино написан в ходе, и это быстро!. Вы можете запустить его перед любым другим инструментом в вашей цепочке, чтобы получить хорошее представление о вашем целевом файле. В большинстве случаев это все, что вам нужно, чтобы определить, является ли файл злым или нет!

1- Двигатель обнаружения файлов

Благодаря Die, Флорентино может обнаружить сотни типов файлов.

 Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117 

Помимо обнаружения файлов, также выполнялась обнаружение энтропии и упаковки.

2- Сканировать двигатель

Флорентино может работать с различными источниками для анализа файла.

• Virustotal: мы проверяем его на существующий отчет
• Строки и сканирование IOC: Флорентино берет это; Кроме того
• Двоичное сканирование: Флорентино может работать с файлами PE X86/X64, Macho X86/X64, ELF X86/X64. Он получит импортный символ и библиотеки

3- Обнаружение и распаковку упаковки

• В настоящее время поддерживают только файлы PE X86
• распаковка двигателя: unpac.me

4- Отчет

• Все отчеты хранятся в виде текстового файла в каталоге /данных

Обратите внимание, что Флорентино не является реверсирующей набором, и его единственная цель - только закрепить первый анализ, который Флорентино модульный и прост в расширении с помощью ваших собственных инструментов.

Flarentino: Fairest ladies, my lips are like whatever I finish this later ...

1.0.1-альфа

Flarentino: "You have bad form my friend."

Проверьте документацию по адресу /докс /readme.md

Давайте запустим Флорентино против тенденции на миллионы долларов на вымогательную программу под названием Ryuk.

Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe

Через один минут или около того мы проверяем /папку данных

{
    "detects" : [
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
            "type" : " compiler "
        },
        {
            "filetype" : " PE+(64) " ,
            "name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
            "type" : " linker "
        }
    ],
    "entropy" : " 6.07306 " ,
    "filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
}

 /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d " 

 Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....

• Сейчас менее чем за 3 минуты мы уже знаем его вымогательную программу, оно не упаковано, мы расшифровали первый слой запутанных струн, и мы уже даже извлекли метод стойкости.
• Пожалуйста, считайте, что это не готово к производству, основной момент выпуска этого является показать вам, как вы можете достичь аналогичных результатов. Код может значительно улучшить.

Флорентино: "HaHa, A wonderful day for a duel among gentlemen."

• Добавьте модуль или исправьте что -нибудь, а затем вытащите запрос.
• Бесконечная возможность улучшений:
  • Добавить веб -интерфейс
  • Подключите его к базе данных реляционной/NOSQL
  • Разобрать каждый бинарник в свои глубокие детали
  • Интегрируйте R2 как предоставление разборки
  • ...
• Поделитесь этим с тем, кто, по вашему мнению, может использовать его.
• Сделайте дополнительную работу и поделитесь своими выводами с сообществом ♥

Удолошительные изделия отбивают рассказ о агенте Теслы

Потрясающий анализ вредоносных программ

Потрясающее изменение

Проект лицензирован по лицензии wtfpl .