文件名称:pestudio-cli:用于分析PE文件中恶意软件使用的模式的Python工具
文件大小:335KB
文件格式:ZIP
更新时间:2024-05-30 23:34:47
Python
pestudio-cli 目标 我们的目标是实现基于python的命令行工具,该工具可用于检查PE文件是否存在已知的恶意模式。 因此,我们 将文件提交给VirusTotal并将结果摘要呈现给用户 将PE文件与已知恶意程序的签名匹配(签名是从PEStudio导入的)。 目前,这些是包装工的签名 检查二进制文件是否使用列入黑名单的库/导入 检查可疑资源 检查二进制字符串以查找列入黑名单的值 显示各种信息并突出显示与PE文件有关的异常,例如PE标头(将来的时间戳),TLS回调或重定位 检查PE文件中是否存在100多个功能。 最重要的是,我们检查各种可疑值,其中包括高熵,已知的漏洞,入口点地址,段,标头,数据等异常。 通过调用yara-python库(如果已安装)来包括对yara规则的支持 我们支持多种输出格式,并使输出结果高度可配置: 许多选项可用于指定应执行的分析 输出包含所需信息的xm
【文件预览】:
pestudio-cli-master
----SignatureMatcher.py(2KB)
----VirusTotalClient.py(4KB)
----xml()
--------indicators.xml(41KB)
--------settings.xml(4KB)
--------features.xml(102KB)
--------thresholds.xml(15KB)
--------resources.xml(36KB)
--------functions.xml(474KB)
--------translations.xml(79KB)
--------signatures.xml(1.23MB)
--------whitelibraries.xml(5KB)
--------languages.xml(20KB)
--------strings.xml(140KB)
----PeAnalyzer.py(62KB)
----README.md(2KB)
----pestudio.py(19KB)
----Features.md(26KB)
----tests()
--------tls_upx.exe(22KB)
----setup.sh(86B)
----constants.py(2KB)