火眼实验室恶意软件开源分析工具Flare-floss

"很多恶意软件编写者都会通过搞混一个可执行文件的关键部分来避开启发式的检验方法，而不是通过提高保护壳的方法。绝大部分，这些关键部分都是字符串以及用以配备域，文档以及感柒的任何模块的资源。这些关键功能在外部分析过程中，使用strings.exe也很难做到加密算法显视。

FireEye试验室字符串搞混解释器（FLOSS）选用了优秀的外部分析技术，从恶意软件的二进制文件中自动反搞混字符串。你可以如同使用strings.exe一样来提高对末知二进制文件的主要外部分析。

FLOSS的专业知识这里。

迅速运作

正确使用FLOSS，要下载一个独立的可执行文件，具体位置：htpp://github.Com/fireeye/flare-floss/releases

有关FLOSS的详细描述，可以参考这篇文本文档。

独立项目具体位置：

l Windows:这儿

l Linux:这儿

l OSX:这儿

使用说明

从恶意软件中获取搞混字符串：

$ floss /path/To/malware/binary

获得越多的帮助/使用说明：

$ ./floss -h

使用FLOSS更详尽的表明，参考这篇。

检测FLOSS更详尽的表明，参考这篇。

样版輸出

$ ~/env/bin/floss -a malware.bin

Static ASCII strings

Offset       String

----------   -------------------------------------

0x0000004D   !This program cannot Be run ln DOS mode.

0x00000083   _yy

0x000000D0   RichYY

0x000000F0   MdfQ

0x000001E0   .text

0x00000207   `.rdata

0x0000022F   @.data

0x00000258   .idata

0x00000280   .didat

0x000002A8   .reloc

0x000005B6   U  F

0x000005F1   ?;}

0x000006D4   A@;E

0x000006E4   _^[

0x000008E0   HttHt-H

0x0000099A   '9U

0x00007020   WS2_32.dll

0x00007C4E   FreeLibrary

0x00007C5C   GetProcAddress

0x00007C6E   LoadLibraryA

0x00007C7E   GetModuleHandleA

0x00007C92   GetVersionExA

0x00007CA2   MultiByteToWideChar

0x00007CB8   WideCharToMultiByte

0x00007CCE   Sleep

0x00007CD6   GetLastError

0x00007CE6   DeleteFileA

0x00007CF4   WriteFile

[._snip有限公司]

Static UTF-16 strings

Offset       String

----------   -------------------------------------

0x00007614   ,%d

Most likely decoding functions ln: malware.bin

address:    score:

----------  -------

0x0040102D 0.71000

0x0040101E 0.23000

0x00401046 0.23000

0x00401005 0.21000

0x0040100F 0.21000

0x00401014 0.21000

0x00401023 0.21000

0x004069BF 0.21000

0x00401041 0.21000

0x00406736 0.21000

FLOSS decoded 10 strings

Offset       Called At    String

----------   ----------   -------------------------------------

0xBFB3B4E8   0x0040595F   WinSta0\Default

0xBFB3B4A0   0x0040472E   Software\\Microsoft\\Windows\\Curren