Static Reverse Engineering SRE

SRE ได้รับการออกแบบมาเพื่อผ่าไฟล์ PE (EXE, DLL) สำหรับการย้อนกลับแบบคงที่และการวิเคราะห์ตัวอย่างมัลแวร์และการดำเนินการที่น่าสงสัยโดยแยกข้อมูลที่มีค่าโดยไม่ต้องดำเนินการ มันถูกสร้างขึ้นด้วยเทคนิคการวิเคราะห์ที่ครอบคลุมเพื่อระบุโครงสร้างพื้นฐานที่เป็นอันตรายไลบรารี ฯลฯ และสร้างผลลัพธ์เป็นไฟล์ข้อความภายใต้ไดเรกทอรี analysion_result_binaryfilename ที่สร้างขึ้นโดยเครื่องมือนี้ซึ่งมีประโยชน์สำหรับการวิเคราะห์เชิงลึกที่กำหนดเอง

การวิเคราะห์แบบคงที่: ดำเนินการวิเคราะห์แบบคงที่อย่างละเอียดเกี่ยวกับไฟล์ไบนารีที่กำหนดในเก้าโมดูลต่อไปนี้และให้ความรู้อย่างกว้างขวางเกี่ยวกับลักษณะที่น่าสงสัยของไฟล์ไบนารีพฤติกรรมที่เป็นอันตรายและความเสี่ยงที่อาจเกิดขึ้น

• การวิเคราะห์ความสมบูรณ์
• การวิเคราะห์ข้อมูลเมตา
• การตรวจจับ Packers
• APIs วิเคราะห์
• การวิเคราะห์สตริง
• การสกัด IOCS
• วิเคราะห์พฤติกรรมที่เป็นอันตราย
• การถ่ายโอนข้อมูล
• การตรวจสอบ Virustotal <หมายเหตุ: สิ่งนี้จะไม่ส่งตัวอย่างไปยัง Vt.>

จุดตรวจ 200+: โมดูล 9 ที่แตกต่างกันเก้าโมดูลนี้ครอบคลุมจุดตรวจมากกว่า 200 จุดซึ่งครอบคลุมเทคนิคการวิเคราะห์ที่หลากหลายโดยมีวัตถุประสงค์เพื่อให้ข้อมูลที่ครอบคลุมของไฟล์ไบนารี

เอาต์พุตที่ใช้ TextFile: เครื่องมือบันทึกผลการวิเคราะห์เป็นไฟล์ข้อความ รูปแบบนี้ถูกเลือกเพื่ออำนวยความสะดวกในรูปแบบที่อ่านง่ายการตรวจสอบและการวิเคราะห์เพิ่มเติมของข้อมูลที่รวบรวม ช่วยให้นักวิเคราะห์สามารถค้นหากรองและประมวลผลข้อมูลได้อย่างมีประสิทธิภาพ ยังทำให้ง่ายต่อการเขียน 'กฎของ Yara' ที่กำหนดเอง

ข้อดี:

• เครื่องมือบรรทัดคำสั่งที่สมบูรณ์พร้อมไฟล์ข้อความเป็นเอาต์พุต <ก่อนอื่นฉันเดา!>
• ไฟล์ข้อความผลลัพธ์มีประโยชน์สำหรับการวิเคราะห์ผลลัพธ์เพิ่มเติมการสร้างรายงานโดยละเอียดและเขียนกฎ YARA ที่กำหนดเอง พวกเขายังมีประโยชน์มากในระหว่างการวิเคราะห์ตัวอย่างแบบไดนามิก
• มันเป็นเครื่องมือบรรทัดคำสั่งที่ใช้งานง่ายโดยอัตโนมัติต่อไปและปรับแต่งการวิจัยการวิเคราะห์แบบไดนามิกเชิงลึกเพิ่มเติม

ข้อ จำกัด :

• ไม่มี GUI ปฏิบัติต่อ! มันเป็นบรรทัดคำสั่งทั้งหมด
• รองรับเพียงรูปแบบไฟล์ DLL (ณ ตอนนี้)
  
  

• Python 3.10 ขึ้นไป
  
• ใช้ไฟล์ ' txt.txt ' สำหรับแพ็คเกจการติดตั้งล่วงหน้าที่จำเป็นและจะติดตั้งโดยใช้:
  

 pip install - r requirements . txt

• นี่คือรายการเต็มของแพ็คเกจ Python เป็นข้อกำหนดในกรณีที่คุณต้องการ
  

  • Re, Math, Magic, Yara
  • OS, SYS, subprocess, แพลตฟอร์ม
  • pefile, lief
  • JSON คำขอ
  • DateTime เวลา
  • hashlib, argparse

• คีย์ API Virustotal จำเป็นต้องได้รับการ palced ในไฟล์ 'api_key.txt' ภายใต้ไดเรกทอรี config
  

• ตรวจสอบให้แน่ใจว่าไฟล์กฎของ Yara อยู่ภายใต้ไดเรกทอรี config
  
  

สำหรับเทอร์มินัล Linux

$ python3 SRE . py [ options ] [ filename ]

สำหรับ windows cmd promopt

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

เคล็ดลับ : หากชื่อไฟล์ไบนารีเป็น 'malware.exe' แนะนำให้เปลี่ยนชื่อเป็น 'Malware_exe' เพื่อสร้างไดเรกทอรีเอาต์พุตที่มีความหมายและชื่อไฟล์