PE Tree:一個惡意軟件逆向工程分析開源工具
責編:gltian |2020-08-10 10:10:41近日,由BlackBerry Research and Intelligence團隊開發的PE Tree——一種惡意軟件逆向工程開源工具,現已向網絡安全社區免費提供。
PE Tree允許惡意軟件分析人員使用pefile(可解析和使用PE文件的多平臺Python模塊)以及PyQt5(可用于創建圖形用戶界面)在樹狀視圖中查看可移植可執行(PE)文件。
“PE Tree用Python開發,支持Windows、Linux和Mac操作系統。它可以作為獨立應用程序或IDAPython插件安裝和運行。”BlackBerry威脅研究人員Tom Bonner解釋說。
基于Python的工具可解析PE文件并將其映射到樹視圖中,它們提供了各種標頭的概述。突出顯示可疑的結果,分析人員可以通過VirusTotal搜索,將PE文件的一部分導出到CyberChef進行進一步處理,從IDA數據庫中查找和轉儲PE文件以及重構導入等深入研究。
“惡意軟件的逆向工程是一個非常耗時耗力的過程,尤其是解構軟件程序。”BlackBerry團隊指出。
下一個版本的重點
網絡安全和IT公司(以及政府機構)在內部使用開源安全工具并不罕見。
Bonner指出,這個免費的逆向工程工具正在積極開發中,并且將頻繁添加新功能。
他分享道:“下一個主要版本的重點是對Rekall的支持,提供從內存轉儲或實時系統查看和轉儲進程的能力。”Rekall框架是用于提取和數字文物計算機系統的分析工具的集合。
BlackBerry研究運營副總裁埃里克·米拉姆(Eric Milam)表示:
隨著網絡犯罪不斷發展,網絡安全社區的武器庫也需要增添一些新式武器了。我們PE Tree能夠提高網絡安全社區在這場斗爭中的戰斗力,如今,全球有超過十億個惡意軟件,并且每年新增超過1億個惡意軟件。
參考資料
PE Tree地址:
https://github.com/blackberry/pe_tree