A versão 3.00 do Detect It Easy (DIE) foi lançada no início do mês e nós já testamos. O DIE é um programa para determinar tipos de arquivos, multiplataforma (C++/Qt), com versões para Windows, Linux e macOS. Ele possui uma arquitetura totalmente aberta de assinaturas e permite adicionar facilmente seus próprios algoritmos de detecção ou modificar os que já existem usando scripts. A linguagem de script é muito semelhante ao JavaScript e qualquer pessoa que entenda o básico da programação saberá facilmente como ela funciona.
O DIE possui três versões: Versão básica ("DIE"), versão Lite ("DIEL") e versão do console ("DIEC"). Todas usam as mesmas assinaturas, localizadas na pasta "db". Esta pasta contém subpastas como "Binary" e "PE". Os nomes das subpastas correspondem aos tipos de arquivos.
O DIE determina o tipo de arquivo e, em seguida, carrega sequencialmente todas as assinaturas que estão na pasta correspondente. Atualmente, o programa suporta os seguintes tipos de arquivos:
- Arquivos executáveis MS-DOS
- Arquivos executáveis PE
- Arquivos executáveis ELF
- Arquivos executáveis Mach-O
- Arquivos binários em geral
Na versão 3.00, a interface foi remodelada. As mudanças que percebemos foram:
- Novo botão Hash que calcula diferentes hashes, incluindo MD5, SHA1 e SHA-256 de partes do binário (seções, cabeçalhos, etc.) e também dele todo.
- Remoção do engine do Yara, que não se popularizou muito já que as assinaturas do DIE já são muito boas. Voltamos a ter duas opções: DIE e Nauz File Detector.
- Novo botão Memory map que mostra uma visualização integrada das seções e disassembla seu conteúdo também.
- Disassembler com suporte a labels.
Achamos tudo muito legal, no entanto sentimos falta do suporte a scripts e a função de encontrar constantes que sugerem implementações criptográficas, recurso acessado na opção Search -> Crypto (Botão S) nas versões anteriores à 3.00. Por enquanto, recomendamos ter ambas as versões instaladas. ?
Na nossa Aula 02 do curso de Análise de Malware Online – AMO, mostramos a diferença da análise estática de arquivos suspeitos com o pestudio e o DIE. Dá uma olhada:
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.