火眼实验室恶意软件开源分析工具Flare-floss
"很多恶意软件编写者都会通过搞混一个可执行文件的关键部分来避开启发式的检验方法,而不是通过提高保护壳的方法。绝大部分,这些关键部分都是字符串以及用以配备域,文档以及感柒的任何模块的资源。这些关键功能在外部分析过程中,使用strings.exe也很难做到加密算法显视。
FireEye试验室字符串搞混解释器(FLOSS)选用了优秀的外部分析技术,从恶意软件的二进制文件中自动反搞混字符串。你可以如同使用strings.exe一样来提高对末知二进制文件的主要外部分析。
FLOSS的专业知识这里。
迅速运作
正确使用FLOSS,要下载一个独立的可执行文件,具体位置:htpp://github.Com/fireeye/flare-floss/releases
有关FLOSS的详细描述,可以参考这篇文本文档。
独立项目具体位置:
l Windows:这儿
l Linux:这儿
l OSX:这儿
使用说明
从恶意软件中获取搞混字符串:
$ floss /path/To/malware/binary
获得越多的帮助/使用说明:
$ ./floss -h
使用FLOSS更详尽的表明,参考这篇。
检测FLOSS更详尽的表明,参考这篇。
样版輸出
$ ~/env/bin/floss -a malware.bin
Static ASCII strings
Offset String
---------- -------------------------------------
0x0000004D !This program cannot Be run ln DOS mode.
0x00000083 _yy
0x000000D0 RichYY
0x000000F0 MdfQ
0x000001E0 .text
0x00000207 `.rdata
0x0000022F @.data
0x00000258 .idata
0x00000280 .didat
0x000002A8 .reloc
0x000005B6 U F
0x000005F1 ?;}
0x000006D4 A@;E
0x000006E4 _^[
0x000008E0 HttHt-H
0x0000099A '9U
0x00007020 WS2_32.dll
0x00007C4E FreeLibrary
0x00007C5C GetProcAddress
0x00007C6E LoadLibraryA
0x00007C7E GetModuleHandleA
0x00007C92 GetVersionExA
0x00007CA2 MultiByteToWideChar
0x00007CB8 WideCharToMultiByte
0x00007CCE Sleep
0x00007CD6 GetLastError
0x00007CE6 DeleteFileA
0x00007CF4 WriteFile
[._snip有限公司]
Static UTF-16 strings
Offset String
---------- -------------------------------------
0x00007614 ,%d
Most likely decoding functions ln: malware.bin
address: score:
---------- -------
0x0040102D 0.71000
0x0040101E 0.23000
0x00401046 0.23000
0x00401005 0.21000
0x0040100F 0.21000
0x00401014 0.21000
0x00401023 0.21000
0x004069BF 0.21000
0x00401041 0.21000
0x00406736 0.21000
FLOSS decoded 10 strings
Offset Called At String
---------- ---------- -------------------------------------
0xBFB3B4E8 0x0040595F WinSta0\Default
0xBFB3B4A0 0x0040472E Software\\Microsoft\\Windows\\Curren
相关文章
- 3条评论
- 森槿勒言2022-05-31 09:17:28
- coded 10 stringsOffset Called At String---------- ----------&nbs
- 绿邪囍神2022-05-31 07:08:30
- 这些关键功能在外部分析过程中,使用strings.exe也很难做到加密算法显视。 FireEye试验室字符串搞混解释器(FLOSS)选用了优秀的外部分析技术,从恶意软件的二进制文件中自动反搞混字符
- 辞眸辞忧2022-05-31 07:19:35
- ------ -------------------------------------0x00007614 ,%d Most likely decoding functions ln: malware