หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

ดร. เซมู

Dr.Semu ดำเนินการในสภาพแวดล้อมที่แยกได้ตรวจสอบพฤติกรรมของกระบวนการและขึ้นอยู่กับกฎของ Dr.Semu ที่คุณหรือชุมชนตรวจพบว่ากระบวนการนั้นเป็นอันตรายหรือไม่

drsemu_lua

[เครื่องมืออยู่ในช่วงเริ่มต้นการพัฒนา]

Whoami: @_qaz_qaz

ด้วย Dr.Semu คุณสามารถสร้างกฎเพื่อตรวจจับมัลแวร์ตามพฤติกรรมแบบไดนามิกของกระบวนการ

แยกผ่านการเปลี่ยนเส้นทาง

ทุกอย่างเกิดขึ้นจากโหมดผู้ใช้ Windows Projected System (PROJFS) ใช้เพื่อให้ระบบไฟล์ virtual สำหรับการเปลี่ยนเส้นทางรีจิสทรีมันโคลนลมพิษทั้งหมดไปยังสถานที่ใหม่และเปลี่ยนเส้นทางการเข้าถึงรีจิสทรีทั้งหมด

ดูซอร์สโค้ดสำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปลี่ยนเส้นทางอื่น ๆ (การแยกกระบวนการ/วัตถุ ฯลฯ )

การตรวจ

Dr.Semu ใช้ Dynamorio (แพลตฟอร์มเครื่องมือเครื่องมือวัดพลวัต) เพื่อสกัดกั้นเธรดเมื่อกำลังจะข้ามสายเคิร์นเนลของผู้ใช้ มันมีเอฟเฟกต์เช่นเดียวกับการเชื่อม SSDT แต่มาจากโหมดผู้ใช้และโดยไม่ต้องเชื่อมต่ออะไรเลย

ในขั้นตอนนี้ Dr.Semu ผลิตไฟล์ JSON ซึ่งมีข้อมูลจากการสกัดกั้น

การตรวจจับ

หลังจากยกเลิกกระบวนการตามกฎของ Dr.Semu เราจะได้รับหากตรวจพบการทำงานเป็นมัลแวร์หรือไม่

Dr.Semu กฎ/การตรวจจับ

Dr.Semu กฎ

พวกเขาเขียนใน Python หรือ LUA (อยู่ภายใต้ dr_rules ) และใช้ข้อมูลแบบไดนามิกจากการสกัดกั้นและข้อมูลคงที่เกี่ยวกับตัวอย่าง เป็นเรื่องเล็กน้อยที่จะเพิ่มการสนับสนุนภาษาอื่น ๆ

drsemu_rule_python

ตัวอย่าง ( Python ): https://gist.github.com/secrary/ac89321b8a7bde998a6e3139be49eb72

ตัวอย่าง ( Lua ): https://gist.github.com/secrary/e16daf698d466136229dc417d7dbcfa3

การใช้งาน

  • ใช้ PowerShell เพื่อเปิดใช้งาน ProjFS ในหน้าต่าง PowerShell ที่สูงขึ้น:

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

  • ดาวน์โหลดและแยกไฟล์ zip จากหน้า releases

  • ดาวน์โหลด DynamoRIO และ Extract ลงในโฟลเดอร์ DrSemu และเปลี่ยนชื่อเป็น dynamorio

  • ติดตั้ง Python 3 x64

DrSemu.exe --target file_path

DrSemu.exe --target files_directory

การสาธิต

การสาธิต Drsemu

สร้าง

  • ใช้ PowerShell เพื่อเปิดใช้งาน ProjFS ในหน้าต่าง PowerShell ที่สูงขึ้น:

Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart

PowerShell

  • ติดตั้ง Python 3 x64

  • ดาวน์โหลด DynamoRIO และ Extract ลงในโฟลเดอร์ bin และเปลี่ยนชื่อเป็น dynamorio

  • สร้าง pe-parser-library.lib Library:

    • สร้างโครงการ VS จาก DrSemushared_libspe_parse โดยใช้ cmake-gui
    • สร้างไลบรารี 32 บิตภายใต้ build ( shared_libspe_parsebuildpe-parser-libraryRelease ) และ 64- บิตหนึ่งภายใต้ build64
    • เปลี่ยนตัวเลือกไลบรารีรันไทม์เป็น Multi-threaded ( /MT )

  • ตั้งค่า LauncherCLI เป็นโครงการเริ่มต้น

สิ่งที่ต้องทำ

  • แก้ปัญหาที่เกี่ยวข้องกับความโดดเดี่ยว
  • ปรับปรุงการซิงโครไนซ์
  • อัปเดตคำอธิบายเพิ่มรายละเอียดเพิ่มเติม
  • สร้าง GUI สำหรับเครื่องมือ

ข้อ จำกัด

  • เวอร์ชัน Windows ที่รองรับขั้นต่ำ: Windows 10 , เวอร์ชัน 1809 (เนื่องจาก Windows Projected File System )
  • เวอร์ชัน Windows ที่รองรับสูงสุด: Windows 10 , เวอร์ชัน 1809 ( DynamoRIO รองรับเวอร์ชัน Windows 10 จนถึง 1809 )
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด