MicroSCOPE

显微镜是一种通过GO编程语言开发的软件程序，可以检测出一种恶意软件的精确类别。该程序专为一类称为勒索软件的恶意程序而设计，其操作由数据加密和赎金需求组成，以便再次访问内容。

特别是，显微镜可以支持两种主要使用的格式：Windows平台的PE（便携式可执行文件）格式和基于UNIX的平台的Elf（可执行文件和链接格式）。通过应用某些启发式方法，显微镜能够分配一个与所分析文件危险程度相对应的分数。分数越高，该软件将表现出与已经研究的勒索软件相似的特征。启发式方法已从众多案例研究中推断出来，并且会随着时间的推移而得到改善。

• analysis ：与二进制的静态分析有关的文件夹（包括显微镜的各个阶段）
• docs ：包含显微镜项目文档的文件夹。
• formats ：与二进制文件格式（ELF和PE）有关的文件夹，包括常数，检查和解析二进制；
• heuristics ：实际启发式方法。
• utils ：通用公用事业

显微镜进行的分析有三个主要步骤：

• 数据挖掘：基于其扩展类型（例如：PE或ELF文件），推断字符串，使用的功能以及任何其他可能有用的信息可用于预测程序执行可能有用的其他信息；
• 启发式方法的应用：根据第一阶段推断的信息，应用启发式方法来弄清楚该程序在执行时的行为方式。在此阶段，计算得分（启发式方法的各种得分）；
• 结果确定：基于得分且高于某个值（称为阈值值 - 用户定义），显微镜将某个分数与恶意行为相关联；

下载最新版本，然后使用FLAG -f运行以指定输入文件（必须是有效的PE或ELF可执行文件）。

 ./microscope -f my_executable_ransomware