florentino
1.0.0
佛罗伦萨以小说战士的名字命名。
Flarentino: "I'd wear a fedora but they haven't invented them yet"
作为香水之屋的唯一继承人,佛罗伦Tino的浪漫冒险与他的豪华球一样众所周知。
佛罗伦萨: "Ah... relationships are such a bother"
Florentino是一个跨平台文件分析框架。有助于从Malwares和未知文件分析中提取静态资源。
他可以帮助恶意软件分析师和安全研究人员快速浏览未知文件。不过,他不能独自赢得一场大战。这就是为什么他呼吁朋友帮助坏人的原因。因此他打电话给这些朋友(学分):
没有他们,这是一场从一开始就失去的战争。
每当我们想分析一个未知文件时,都有几个步骤几乎是相同的佛罗伦TINO旨在自动化这些无聊步骤的步骤,以便分析师可以通过手动和动态分析更快地移动。
佛罗伦萨: "Flowers, women – I desire all that is beautiful."
弗洛伦蒂诺(Florentino)是在Go中写的,这很快!您可以在链中的任何其他工具之前运行它,以掌握目标文件。在大多数情况下,您需要确定文件是否是恶意的一切!
1-文件检测引擎
多亏了Die,Florentino可以检测到数百种文件类型。
Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117
除了文件检测外,还执行了熵和包装器检测。
2-扫描引擎
Florentino可以使用各种来源来分析文件。
3-包装工检测和解开包装
4-报告
请注意,Florentino并不是一个逆转套件,其唯一的目的是固定第一个分析Florentino是模块化的,易于使用自己的工具扩展。
Flarentino: Fairest ladies, my lips are like whatever I finish this later ...
1.0.1-alpha
Flarentino: "You have bad form my friend."
在/docs/readme.md上查看文档
让我们来对付弗洛伦蒂诺(Florentino),以称为ryuk的数百万美元勒索软件。
Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe
大约一分钟后,我们检查 /数据文件夹
{
"detects" : [
{
"filetype" : " PE+(64) " ,
"name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
"type" : " compiler "
},
{
"filetype" : " PE+(64) " ,
"name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
"type" : " linker "
}
],
"entropy" : " 6.07306 " ,
"filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
} /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d "
Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....
佛罗伦萨: "HaHa, A wonderful day for a duel among gentlemen."
恶意软件反击特工特斯拉的故事
很棒的恶意软件分析
令人震惊的逆转
该项目是根据wtfpl许可证获得许可的。
