恶意软件分析工具,从文件中提取感兴趣的模式并破解诸如xor之类的混淆
balbuzard的Python项目详细描述
巴尔布扎德
[balbuzard]( http://www.deachage.info/python/balbuzard )是python中的恶意软件分析工具包,用于从可疑文件中提取感兴趣的模式(IP地址、域名、已知文件头、i测试字符串等)。
它还可以通过对这些模式进行暴力搜索和检查来破解恶意软件混淆,如xor、rol等。
快速链接:[下载](http://bitbucket.org/贴花/balbuzard/downloads" rel="nofollow">http://bitbucket.org/贴花/balbuzard/downloads)-[安装](https://bitbucket.org/贴花/balbuzard/wiki/installation" rel="nofollow">https://bitbucket.org/贴花/balbuzard/wiki/安装)—[文档]( https://bitbucket.org/贴花/balbuzard/wiki )—[联系人]( http://www.贴花.info/contact )—[报告问题]( https://bitbucket.org/贴花/balbuzard/issues?status=new&status=open )—[在Twitter上更新]( https://twitter.com/贴花2 )
##巴尔布扎德工具:
- [balbuzard]( https://bitbucket.org/贴花/balbuzard/wiki/balbuzard/ )是一个从恶意文件(如IP地址、URL、嵌入文件和典型恶意软件字符串)中提取感兴趣模式的工具。它很容易用新的模式、正则表达式和yara规则进行扩展。
- [bbcrack]( https://bitbucket.org/贴花/balbuzard/wiki/bbcrack/ )使用了一种基于感兴趣模式的新算法来强制典型的恶意软件[混淆]( https://bitbucket.org/贴花/balbuzard/wiki/transforms )例如xor、rol、add和各种组合,以便猜测使用了哪些算法/键。
- [bbharvest]( https://bitbucket.org/贴花/balbuzard/wiki/bbharvest/ )提取应用典型恶意软件时发现的所有感兴趣模式[混淆转换]( https://bitbucket.org/贴花/balbuzard/wiki/transforms )例如xor、rol、add和各种组合,尝试所有可能的键。当在一个文件中使用多个键或多个变换时,它特别有用。
- [bbtrans]( https://bitbucket.org/贴花/balbuzard/wiki/bbtrans/ )可以应用任何[转换]( https://bitbucket.org/贴花e/balbuzard/wiki/将bbcrack(xor、rol、add和各种组合)转换为文件。
##何时使用这些工具:
- 如果您需要分析一个新的恶意文件,您可以首先尝试[balbuzard]( https://bitbucket.org/贴花/balbuzard/wiki/balbuzard/ )来提取感兴趣的字符串/模式并检测clearte中的嵌入文件X.
- 然后,如果您认为恶意文件可能使用[混淆算法](https://bitbucket.org/贴花/balbuzard/wiki/transforms" rel="nofollow">https://bitbucket.org/贴花/balbuzard/wiki/transforms)来隐藏感兴趣的数据(例如,嵌入的可执行文件),请尝试[bbcrack]( https://bitbucket.org/贴花/balbuzard/wiki/bbcrack/ )查找算法和密钥。
- 或者,如果bbcrack不成功,或者如果您认为文件可能使用多个[算法]( https://bitbucket.org/贴花/balbuzard/wiki/transforms )和/或键,请尝试[bbharvest]( https://bitbucket.org/贴花/balbuzard/wiki/bbharvest/ )。bbharvest特别针对可执行文件或恶意文件中混淆的单个字符串。
##5分钟演示
请参阅[演示]( https://bitbucket.org/贴花/balbuzard/wiki/demo/ )页面,查看示例并使用提供的示例在几分钟内自行测试工具。
##需要帮助:
- 如果您有恶意软件示例或带有已知混淆算法(如XOR)的恶意文档,请[与我联系]( http://www.贴花.info/contact )。这将有助于我提高BBcrack和BBharvest。
- 如果您知道Balbuzard应该支持的用于恶意软件分析的其他字符串、模式、文件头或其他[混淆算法](https://bitbucket.org/贴花/balbuzard/wiki/transforms" rel="nofollow">https://bitbucket.org/贴花/balbuzard/wiki/transforms),请[联系我](http://www.delachage.info/contact" rel="nofollow">http://www.delachage.info/contact)。
有关更多信息和其他工具,请参见http://www.decalage.info/python/balbuzard" rel="nofollow">http://www.decalage.info/python/balbuzard>;。
#新闻
关注Twitter上的所有更新和新闻:https://twitter.com/贴花2 rel="nofollow">https://twitter.com/贴花2>;
- 2014-05-22:balbuzard v0.19包含在[Remnux v5]中(http://blog.zeltser.com/post/86508269224/Remnux-v5-release-for-malware-analysts) ,预装并准备使用。
- 2014-03-23 v0.19:yara未安装时的错误修复,改进了[文档](https://bitbucket.org/贴花/balbuzard/wiki" rel="nofollow">https://bitbucket.org/贴花/balbuzard/wiki)。
- 2014-02-26 v0.18:Balbuzard工具的初始发布
- 2013-03-15:添加收获模式(BBHarvest)
- 2011-05-06:增加了暴力功能(bbcrack)
- 2008-06-06:sstic08的第一次公开发布为[rescan]( http://贴花.info/rescan )( http://贴花.info/sstic08 )
- 2007-07-11:Rescan的第一个版本
- 有关详细信息,请参阅源代码中的更改日志。
#下载
存档文件可在[Bitbucket上的项目页]( https://bitbucket.org/贴花/balbuzard/downloads )。
#安装
请参阅[安装说明]( https://bitbucket.org/贴花/balbuzard/wiki/installation )。
#如何贡献/报告错误/寻求帮助:
这些是我业余时间开发的开源工具。任何贡献,如代码改进,想法,错误报告,额外的模式或转换将是高度赞赏的。您可以使用[此在线表单]( http://www.delachage.info/contact )通过电子邮件(laposte.net上的贴花)或使用[Bitbucket上的问题页]( https://bitbucket.org/贴花/balbuzard/issues?状态=新建状态=操作en )报告错误/想法,或克隆项目,然后向我发送请求以建议更改。