Static Reverse Engineering SRE

SRE旨在解剖PE文件（EXE，DLL），以静态逆转和分析恶意软件样本和可疑可执行文件，从而在不执行的情况下提取有价值的数据。它是由全面的分析技术构建的，以识别恶意基础架构，库等，并在该工具生成的Analysis_Result_BinaryFileName目录下作为文本文件生成结果，这些目录可用于进一步的自定义深入分析，动态分析或编写详细的技术报告。

静态分析：对以下九个模块的给定二进制文件进行彻底的静态分析，并对二进制文件的可疑特征，恶意行为和潜在风险提供了广泛的了解。

• 完整性分析
• 元数据分析
• 包装工检测
• API分析
• 字符串分析
• IOC提取
• 恶意行为分析
• 拆卸转储
• Virustotal检查<注意：这不会将样本提交给VT。

200多个检查点：这些9个不同的9个模块包含200多个检查站，涵盖了广泛的分析技术，旨在提供二进制文件的全面数据。

基于文本文件的输出：该工具将分析结果保存为文本文件。选择这种格式以促进易读的格式，审查和进一步分析所收集的信息。它允许分析师有效地搜索，过滤和处理数据。还使编写自定义“ Yara规则”非常容易。

优点：

• 带有文本文件作为输出的完整命令行工具。 <首先，我想！>
• 结果文本文件对于进一步分析结果，创建详细的报告和编写自定义Yara规则很有用。在样本的动态分析过程中，它们也非常方便。
• 它是一种易于使用，进一步自动化并自定义的命令行工具，以进行更深入的动态分析研究。

限制：

• 没有gui待遇！它都是命令行。
• 仅支持EXE，DLL文件格式（截至目前）。
  
  

• Python 3.10及以上。
  
• 使用“需求.txt ”文件作为先决条件安装软件包，并将使用以下方式安装：
  

 pip install - r requirements . txt

• 如果您需要，这是Python软件包的完整列表。
  

  • RE，数学，魔术，Yara
  • OS，SYS，子过程，平台
  • pefile，lief
  • JSON，请求
  • 日期，时间
  • Hashlib，Argparse

• Virustotal API密钥需要在Config Directory下的“ API_KEY.TXT”文件中触及。
  

• 还要确保将Yara规则文件放在Config Directory下。
  
  

对于Linux终端

$ python3 SRE . py [ options ] [ filename ]

对于Windows CMD Propopt

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

提示：如果二进制文件的名称为“ malware.exe” ，建议将其重命名为“ Malware_exe”以创建有意义的输出目录和文件名。