florentino
1.0.0
佛羅倫薩以小說戰士的名字命名。
Flarentino: "I'd wear a fedora but they haven't invented them yet"
作為香水之屋的唯一繼承人,佛羅倫Tino的浪漫冒險與他的豪華球一樣眾所周知。
佛羅倫薩: "Ah... relationships are such a bother"
Florentino是一個跨平台文件分析框架。有助於從Malwares和未知文件分析中提取靜態資源。
他可以幫助惡意軟件分析師和安全研究人員快速瀏覽未知文件。不過,他不能獨自贏得一場大戰。這就是為什麼他呼籲朋友幫助壞人的原因。因此他打電話給這些朋友(學分):
沒有他們,這是一場從一開始就失去的戰爭。
每當我們想分析一個未知文件時,都有幾個步驟幾乎是相同的佛羅倫TINO旨在自動化這些無聊步驟的步驟,以便分析師可以通過手動和動態分析更快地移動。
佛羅倫薩: "Flowers, women – I desire all that is beautiful."
弗洛倫蒂諾(Florentino)是在Go中寫的,這很快!您可以在鏈中的任何其他工具之前運行它,以掌握目標文件。在大多數情況下,您需要確定文件是否是惡意的一切!
1-文件檢測引擎
多虧了Die,Florentino可以檢測到數百種文件類型。
Number of com signatures: 200
Number of Text signatures: 14
Number of com signatures: 3
Number of MSDOS signatures: 306
Number of PE/PE+ signatures: 525
Number of DS signatures: 19
Number of EP signatures: 3
Number of ELF/ELF64 signatures: 16
Number of MACH/MACH64 signatures: 8
Total signatures: 1117
除了文件檢測外,還執行了熵和包裝器檢測。
2-掃描引擎
Florentino可以使用各種來源來分析文件。
3-包裝工檢測和解開包裝
4-報告
請注意,Florentino並不是一個逆轉套件,其唯一的目的是固定第一個分析Florentino是模塊化的,易於使用自己的工具擴展。
Flarentino: Fairest ladies, my lips are like whatever I finish this later ...
1.0.1-alpha
Flarentino: "You have bad form my friend."
在/docs/readme.md上查看文檔
讓我們來對付弗洛倫蒂諾(Florentino),以稱為ryuk的數百萬美元勒索軟件。
Florentino -f 8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe
大約一分鐘後,我們檢查 /數據文件夾
{
"detects" : [
{
"filetype" : " PE+(64) " ,
"name" : " Microsoft Visual C/C++(2015 v.14.0)[-] " ,
"type" : " compiler "
},
{
"filetype" : " PE+(64) " ,
"name" : " Microsoft Linker(14.0, Visual Studio 2015 14.0*)[EXE64] " ,
"type" : " linker "
}
],
"entropy" : " 6.07306 " ,
"filename" : " /malwares/8d3f68b16f0710f858d8c1d2c699260e6f43161a5510abb0e7ba567bd7.exe "
} /C REG ADD "HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun" /v "svchos" /t REG_SZ /d "
Gentlemen!
Your business is at serious risk. BLAH BLAH BLAH
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
.....
佛羅倫薩: "HaHa, A wonderful day for a duel among gentlemen."
惡意軟件反擊特工特斯拉的故事
很棒的惡意軟件分析
令人震驚的逆轉
該項目是根據wtfpl許可證獲得許可的。
