speakeasy:Windows内核和用户模式仿真

时间:2024-04-06 05:22:30
【文件属性】:

文件名称:speakeasy:Windows内核和用户模式仿真

文件大小:334KB

文件格式:ZIP

更新时间:2024-04-06 05:22:30

emulation malware-analysis Python

说话容易 Speakeasy是一款便携式模块化二进制模拟器,旨在模拟Windows内核和用户模式恶意软件。 在第一篇查看概述。 Speakeasy将模拟Windows的特定组件,而不是尝试使用整个虚拟化操作系统执行动态分析。 具体来说,通过模拟操作系统的API,对象,运行的进程/线程,文件系统和网络,应该有可能提供一个样本可以完全“执行”的环境。 样本可以轻松地在容器或云服务中进行仿真,从而可以同时分析许多样本,并且具有很大的可扩展性。 目前,Speakeasy支持用户模式和内核模式Windows应用程序。 在仿真之前,在二进制文件中标识入口点。 例如,导出的函数全部被顺序标识和仿真。 此外,还将模拟在运行时发现的动态入口点(例如,新线程,已注册的回调,IRP处理程序)。 这里的目标是在仿真过程中具有尽可能多的代码覆盖率。 事件是在每个入口点的基础上记录的,因此可以将功能归因于特定功


网友评论