安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 神兵利刃 > 火眼实验室恶意软件开源分析工具Flare-floss|

火眼实验室恶意软件开源分析工具Flare-floss|

时间:2016-08-28来源: 作者:老王隔壁的白帽子点击:
许多恶意软件编写者都会通过混淆一个可执行文件的关键部分来躲避启发式的检测方法,而不是通过加强保护壳的方式。通常情况下,这些关键部分都是字符串以及用于配置域,文件以及感染的其它组件的资源。这些关键功能…

许多恶意软件编写者都会通过混淆一个可执行文件的关键部分来躲避启发式的检测方法,而不是通过加强保护壳的方式。通常情况下,这些关键部分都是字符串以及用于配置域,文件以及感染的其它组件的资源。这些关键功能在静态分析过程中,使用strings.exe也得不到明文显示。

//本文来自安云网

FireEye实验室字符串混淆解释器(FLOSS)采用了先进的静态分析技术,从恶意软件的二进制文件中自动反混淆字符串。你可以就像使用strings.exe一样来加强对未知二进制文件的基本静态分析。 //安云网,anyun.org

FLOSS的理论知识在这里 //安云网咨询系统

快速运行

正确使用FLOSS,要下载一个单独的可执行文件,地址:https://github.com/fireeye/flare-floss/releases

//安云网咨询系统

有关FLOSS的详细说明,可以参考这篇文档 //安云网,anyun.org

单独项目地址:

//copyright AnYun.ORG

Windows:这里 //安云网咨询系统

Linux:这里 //ANYUN.ORG

OSX:这里 //安云网,anyun.org

使用方法

从恶意软件中提取混淆字符串: //内容来自AnYun.ORG

//安云网咨询系统

$ floss /path/to/malware/binary //安云网,anyun.org 

//安云网咨询系统

获取更多的帮助/使用方法: //内容来自AnYun.ORG

//内容来自AnYun.ORG

$ ./floss -h 

//安云网咨询系统

//安云网咨询系统

使用FLOSS更详细的说明,参考这篇文章

//copyright AnYun.ORG

测试FLOSS更详细的说明,参考这篇文章 //ANYUN.ORG

样本输出

//安云网,anyun.org

$ ~/env/bin/floss -a malware.bin
 
Static ASCII strings
Offset       String
----------   -------------------------------------
0x0000004D   !This program cannot be run in DOS mode.
0x00000083   _YY
0x000000D0   RichYY
0x000000F0   MdfQ
0x000001E0   .text
0x00000207   `.rdata
0x0000022F   @.data
0x00000258   .idata
0x00000280   .didat
0x000002A8   .reloc
0x000005B6   U  F
0x000005F1   ?;}
0x000006D4   A@;E
0x000006E4   _^[
0x000008E0   HttHt-H
0x0000099A   '9U
0x00007020   WS2_32.dll
0x00007C4E   FreeLibrary
0x00007C5C   GetProcAddress
0x00007C6E   LoadLibraryA
0x00007C7E   GetModuleHandleA
0x00007C92   GetVersionExA
0x00007CA2   MultiByteToWideChar
0x00007CB8   WideCharToMultiByte
0x00007CCE   Sleep
0x00007CD6   GetLastError
0x00007CE6   DeleteFileA
0x00007CF4   WriteFile
[..snip...]
 
Static UTF-16 strings
Offset       String
----------   -------------------------------------
0x00007614   ,%d
 
Most likely decoding functions in: malware.bin
address:    score:
----------  -------
0x0040102D 0.71000
0x0040101E 0.23000
0x00401046 0.23000
0x00401005 0.21000
0x0040100F 0.21000
0x00401014 0.21000
0x00401023 0.21000
0x004069BF 0.21000
0x00401041 0.21000
0x00406736 0.21000
 
FLOSS decoded 10 strings
Offset       Called At    String
----------   ----------   -------------------------------------
0xBFB3B4E8   0x0040595F   WinSta0\Default
0xBFB3B4A0   0x0040472E   Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
0xBFB3B4A0   0x0040472E   Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
0xBFB3B4EC   0x0040472E   ProxyEnable
0xBFB3B4A0   0x0040472E   Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
0xBFB3B4E0   0x0040472E   ProxyServer
0xBFB3B4EC   0x0040472E   ProxyEnable
0xBFB3B4A0   0x0040472E   Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
0xBFB3B4E0   0x0040472E   ProxyServer
0xBFB3B4EC   0x0040472E   ProxyEnable
[..snip...]
 
FLOSS extracted 81 stack strings
Function:   Frame offset  String:
----------  ------------  -------
0x00401005  0x001c    WinSta0\Default
0x0040100f  0x0010    WinSta0\Default
0x0040100f  0x007f    pVAD
0x0040100f  0x0034    '%s' executed.
0x0040100f  0x0038    ERR '%s' error[%d].
0x00401014  0x005c    Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
0x00401014  0x0010    ProxyEnable
0x00401014  0x001c    ProxyServer
0x00401019  0x000c    wininet.dll
0x00401019  0x001c    InternetOpenA
0x00401019  0x0107    0\A4
0x00401019  0x00c8    InternetSetOptionA
0x00401019  0x0064    InternetConnectA
0x00401019  0x00f7    pVAInternetQueryOptionA
0x0040100a  0x0080    Mozilla/4.0 (compatible; MSIE 7.0; Win32)
0x0040100a  0x004c    -ERR
0x0040100a  0x0020    FILE(%s) wrote(%d).
0x0040100a  0x0038    Invalid ojbect.
0x0040100a  0x0040    SetFilepoint error[%d].
0x0040100a  0x003c    b64_ntop error[%d].
0x0040100a  0x0024    GetFileSize error[%d].
0x0040100a  0x0024    Creates file error[%d].
0x00401041  0x0047    pVAKCeID5Y/96QTJc1pzi0ZhEBqVG83OnXaL+oxsRdymHS4bFgl7UrWfP2v=wtjNukM
[..snip...] //内容来自安云网 
//安云网咨询系统

//内容来自安云网

 *参考来源:github.com ,FB小编老王隔壁的白帽子翻译,安云网转载自FreeBuf.COM //本文来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容