Static Reverse Engineering SRE

SRE旨在解剖PE文件（EXE，DLL），以靜態逆轉和分析惡意軟件樣本和可疑可執行文件，從而在不執行的情況下提取有價值的數據。它是由全面的分析技術構建的，以識別惡意基礎架構，庫等，並在該工俱生成的Analysis_Result_BinaryFileName目錄下作為文本文件生成結果，這些目錄可用於進一步的自定義深入分析，動態分析或編寫詳細的技術報告。

靜態分析：對以下九個模塊的給定二進製文件進行徹底的靜態分析，並對二進製文件的可疑特徵，惡意行為和潛在風險提供了廣泛的了解。

• 完整性分析
• 元數據分析
• 包裝工檢測
• API分析
• 字符串分析
• IOC提取
• 惡意行為分析
• 拆卸轉儲
• Virustotal檢查<注意：這不會將樣本提交給VT。

200多個檢查點：這些9個不同的9個模塊包含200多個檢查站，涵蓋了廣泛的分析技術，旨在提供二進製文件的全面數據。

基於文本文件的輸出：該工具將分析結果保存為文本文件。選擇這種格式以促進易讀的格式，審查和進一步分析所收集的信息。它允許分析師有效地搜索，過濾和處理數據。還使編寫自定義“ Yara規則”非常容易。

優點：

• 帶有文本文件作為輸出的完整命令行工具。 <首先，我想！ >
• 結果文本文件對於進一步分析結果，創建詳細的報告和編寫自定義Yara規則很有用。在樣本的動態分析過程中，它們也非常方便。
• 它是一種易於使用，進一步自動化並自定義的命令行工具，以進行更深入的動態分析研究。

限制：

• 沒有gui待遇！它都是命令行。
• 僅支持EXE，DLL文件格式（截至目前）。
  
  

• Python 3.10及以上。
  
• 使用“需求.txt ”文件作為先決條件安裝軟件包，並將使用以下方式安裝：
  

 pip install - r requirements . txt

• 如果您需要，這是Python軟件包的完整列表。
  

  • RE，數學，魔術，Yara
  • OS，SYS，子過程，平台
  • pefile，lief
  • JSON，請求
  • 日期，時間
  • Hashlib，Argparse

• Virustotal API密鑰需要在Config Directory下的“ API_KEY.TXT”文件中觸及。
  

• 還要確保將Yara規則文件放在Config Directory下。
  
  

對於Linux終端

$ python3 SRE . py [ options ] [ filename ]

對於Windows CMD Propopt

 > python3 SREwin . py [ options ] [ filename ]

 arguments:
   filename    ~state file path [to scan single file] or state folder path [to scan multiple files] 
 
options:
   -h,    --help	  show this help message and exit
   -V,    --verbose	  enable verbose terminal output            
   -f,    --file	  check the file type only (before analyse)
   -v,    --version	  show version info               
   -i,    --info	  show author, email and url info            
   -l,    --license 	  show license info

提示：如果二進製文件的名稱為“ malware.exe” ，建議將其重命名為“ Malware_exe”以創建有意義的輸出目錄和文件名。