【文件属性】：
文件名称：speakeasy:Windows内核和用户模式仿真
文件大小：334KB
文件格式：ZIP
更新时间：2021-03-17 11:35:50
emulation malware-analysis Python 说话容易 Speakeasy是一款便携式模块化二进制模拟器，旨在模拟Windows内核和用户模式恶意软件。 在第一篇查看概述。 Speakeasy将模拟Windows的特定组件，而不是尝试使用整个虚拟化操作系统执行动态分析。 具体来说，通过模拟操作系统的API，对象，运行的进程/线程，文件系统和网络，应该有可能提供一个样本可以完全“执行”的环境。 样本可以轻松地在容器或云服务中进行仿真，从而可以同时分析许多样本，并且具有很大的可扩展性。 目前，Speakeasy支持用户模式和内核模式Windows应用程序。 在仿真之前，在二进制文件中标识入口点。 例如，导出的函数全部被顺序标识和仿真。 此外，还将模拟在运行时发现的动态入口点（例如，新线程，已注册的回调，IRP处理程序）。 这里的目标是在仿真过程中具有尽可能多的代码覆盖率。 事件是在每个入口点的基础上记录的，因此可以将功能归因于特定功