MicroSCOPE

กล้องจุลทรรศน์เป็นโปรแกรมซอฟต์แวร์ที่พัฒนาขึ้นผ่านภาษาการเขียนโปรแกรม GO ที่ช่วยให้สามารถตรวจจับหมวดหมู่ของซอฟต์แวร์ที่เป็นอันตรายได้อย่างแม่นยำ โปรแกรมได้รับการออกแบบมาโดยเฉพาะสำหรับคลาสของโปรแกรมที่เป็นอันตรายที่เรียกว่า ransomware ซึ่งการดำเนินการประกอบด้วยการเข้ารหัสข้อมูลและความต้องการค่าไถ่เพื่อเข้าถึงเนื้อหาอีกครั้ง

โดยเฉพาะอย่างยิ่งกล้องจุลทรรศน์ได้รับการพัฒนาเพื่อให้สามารถรองรับสองรูปแบบที่ใช้เป็นส่วนใหญ่: รูปแบบ PE (แบบ พกพาแบบพกพา ) สำหรับแพลตฟอร์ม Windows และ ELF ( รูปแบบการดำเนินการและการเชื่อมโยง ) สำหรับแพลตฟอร์มที่ใช้ UNIX ด้วยการใช้ฮิวริสติกบางอย่างกล้องจุลทรรศน์สามารถกำหนดคะแนนที่สอดคล้องกับระดับความเป็นอันตรายของไฟล์ที่ถูกวิเคราะห์ ยิ่งคะแนนสูงเท่าใดคุณลักษณะที่คล้ายกันมากขึ้นซอฟต์แวร์ก็จะแสดงให้เห็นถึง ransomware ที่ได้รับการศึกษาแล้ว ฮิวริสติกได้รับการประเมินจากกรณีศึกษาจำนวนมากและจะได้รับการปรับปรุงเมื่อเวลาผ่านไป

• analysis : โฟลเดอร์ที่เกี่ยวข้องกับการวิเคราะห์แบบคงที่ของไบนารี (รวมถึงเฟสต่าง ๆ ของกล้องจุลทรรศน์)
• docs : โฟลเดอร์ที่มีเอกสารประกอบของโครงการกล้องจุลทรรศน์
• formats : โฟลเดอร์ที่เกี่ยวข้องกับรูปแบบไฟล์ไบนารี (ELF และ PE) รวมถึงค่าคงที่การตรวจสอบและการแยกวิเคราะห์ของไบนารี;
• heuristics : ฮิวริสติกที่แท้จริง
• utils : ยูทิลิตี้ทั่วไป

การวิเคราะห์ที่ดำเนินการโดยกล้องจุลทรรศน์มีสามขั้นตอนหลัก:

• การขุดข้อมูล : การวิเคราะห์เชิงลึกของไฟล์ไบนารีตามประเภทส่วนขยาย (ตัวอย่างเช่น: ไม่ว่าจะเป็นไฟล์ PE หรือ ELF), การคาดการณ์สตริง, ฟังก์ชั่นที่ใช้และข้อมูลอื่น ๆ ที่มีประโยชน์สำหรับการทำนายการดำเนินการโปรแกรม;
• การประยุกต์ใช้ฮิวริสติก : ตามข้อมูลที่คาดการณ์จากขั้นตอนแรกฮิวริสติกจะถูกนำไปใช้เพื่อหาว่าโปรแกรมจะทำงานอย่างไรเมื่อดำเนินการ ในขั้นตอนนี้จะมีการคำนวณคะแนน (รวมของคะแนนต่าง ๆ ของฮิวริสติก)
• การกำหนดผลลัพธ์ : ขึ้นอยู่กับคะแนนและสูงกว่าค่าที่แน่นอน (เรียกว่าค่าเกณฑ์ - กำหนด - กำหนดผู้ใช้) กล้องจุลทรรศน์จะเชื่อมโยงคะแนนที่แน่นอนกับพฤติกรรมที่เป็นอันตราย

ดาวน์โหลดรุ่นล่าสุดจากนั้นเรียกใช้ด้วย Flag -f เพื่อระบุไฟล์อินพุต (ต้องเป็น PE หรือ ELF ที่ถูกต้อง)

 ./microscope -f my_executable_ransomware