火眼实验室恶意软件开源分析工具Flare-floss

火眼实验室恶意软件开源分析工具Flare-floss

黑客软件hacker2019-07-11 20:23:0713743A+A-

火眼实验室恶意软件开源分析工具Flare-floss 第1张

"很多恶意软件编写者都会通过搞混一个可执行文件的关键部分来避开启发式的检验方法,而不是通过提高保护壳的方法。绝大部分,这些关键部分都是字符串以及用以配备域,文档以及感柒的任何模块的资源。这些关键功能在外部分析过程中,使用strings.exe也很难做到加密算法显视。

FireEye试验室字符串搞混解释器(FLOSS)选用了优秀的外部分析技术,从恶意软件的二进制文件中自动反搞混字符串。你可以如同使用strings.exe一样来提高对末知二进制文件的主要外部分析。

FLOSS的专业知识这里。

迅速运作

正确使用FLOSS,要下载一个独立的可执行文件,具体位置:htpp://github.Com/fireeye/flare-floss/releases

有关FLOSS的详细描述,可以参考这篇文本文档。

独立项目具体位置:

l Windows:这儿

l Linux:这儿

l OSX:这儿

使用说明

从恶意软件中获取搞混字符串:

$ floss /path/To/malware/binary

获得越多的帮助/使用说明:

$ ./floss -h

使用FLOSS更详尽的表明,参考这篇。

检测FLOSS更详尽的表明,参考这篇。

样版輸出

$ ~/env/bin/floss -a malware.bin

 

Static ASCII strings

Offset       String

----------   -------------------------------------

0x0000004D   !This program cannot Be run ln DOS mode.

0x00000083   _yy

0x000000D0   RichYY

0x000000F0   MdfQ

0x000001E0   .text

0x00000207   `.rdata

0x0000022F   @.data

0x00000258   .idata

0x00000280   .didat

0x000002A8   .reloc

0x000005B6   U  F

0x000005F1   ?;}

0x000006D4   A@;E

0x000006E4   _^[

0x000008E0   HttHt-H

0x0000099A   '9U

0x00007020   WS2_32.dll

0x00007C4E   FreeLibrary

0x00007C5C   GetProcAddress

0x00007C6E   LoadLibraryA

0x00007C7E   GetModuleHandleA

0x00007C92   GetVersionExA

0x00007CA2   MultiByteToWideChar

0x00007CB8   WideCharToMultiByte

0x00007CCE   Sleep

0x00007CD6   GetLastError

0x00007CE6   DeleteFileA

0x00007CF4   WriteFile

[._snip有限公司]

 

Static UTF-16 strings

Offset       String

----------   -------------------------------------

0x00007614   ,%d

 

Most likely decoding functions ln: malware.bin

address:    score:

----------  -------

0x0040102D 0.71000

0x0040101E 0.23000

0x00401046 0.23000

0x00401005 0.21000

0x0040100F 0.21000

0x00401014 0.21000

0x00401023 0.21000

0x004069BF 0.21000

0x00401041 0.21000

0x00406736 0.21000

 

FLOSS decoded 10 strings

Offset       Called At    String

----------   ----------   -------------------------------------

0xBFB3B4E8   0x0040595F   WinSta0\Default

0xBFB3B4A0   0x0040472E   Software\\Microsoft\\Windows\\Curren


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 森槿勒言2022-05-31 09:17:28
  • coded 10 stringsOffset       Called At    String----------   ----------&nbs
  • 绿邪囍神2022-05-31 07:08:30
  • 这些关键功能在外部分析过程中,使用strings.exe也很难做到加密算法显视。 FireEye试验室字符串搞混解释器(FLOSS)选用了优秀的外部分析技术,从恶意软件的二进制文件中自动反搞混字符
  • 辞眸辞忧2022-05-31 07:19:35
  • ------   -------------------------------------0x00007614   ,%d Most likely decoding functions ln: malware

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理