MicroSCOPE

顯微鏡是一種通過GO編程語言開發的軟件程序，可以檢測出一種惡意軟件的精確類別。該程序專為一類稱為勒索軟件的惡意程序而設計，其操作由數據加密和贖金需求組成，以便再次訪問內容。

特別是，顯微鏡可以支持兩種主要使用的格式：Windows平台的PE（便攜式可執行文件）格式和基於UNIX的平台的Elf（可執行文件和鏈接格式）。通過應用某些啟發式方法，顯微鏡能夠分配一個與所分析文件危險程度相對應的分數。分數越高，該軟件將表現出與已經研究的勒索軟件相似的特徵。啟發式方法已從眾多案例研究中推斷出來，並且會隨著時間的推移而得到改善。

• analysis ：與二進制的靜態分析有關的文件夾（包括顯微鏡的各個階段）
• docs ：包含顯微鏡項目文檔的文件夾。
• formats ：與二進製文件格式（ELF和PE）有關的文件夾，包括常數，檢查和解析二進制；
• heuristics ：實際啟發式方法。
• utils ：通用公用事業

顯微鏡進行的分析有三個主要步驟：

• 數據挖掘：基於其擴展類型（例如：PE或ELF文件），推斷字符串，使用的功能以及任何其他可能有用的信息可用於預測程序執行可能有用的其他信息；
• 啟發式方法的應用：根據第一階段推斷的信息，應用啟發式方法來弄清楚該程序在執行時的行為方式。在此階段，計算得分（啟發式方法的各種得分）；
• 結果確定：基於得分且高於某個值（稱為閾值值 - 用戶定義），顯微鏡將某個分數與惡意行為相關聯；

下載最新版本，然後使用FLAG -f運行以指定輸入文件（必須是有效的PE或ELF可執行文件）。

 ./microscope -f my_executable_ransomware