Ir para conteúdo

  • DIE 3.00: analisador de executáveis tem nova interface

    Bruna Chieco

    Por Bruna Chieco

     Compartilhar

    A versão 3.00 do Detect It Easy (DIE) foi lançada no início do mês e nós já testamos. O DIE é  um programa para determinar tipos de arquivos, multiplataforma (C++/Qt), com versões para Windows, Linux e macOS. Ele possui uma arquitetura totalmente aberta de assinaturas e permite adicionar facilmente seus próprios algoritmos de detecção ou modificar os que já existem usando scripts. A linguagem de script é muito semelhante ao JavaScript e qualquer pessoa que entenda o básico da programação saberá facilmente como ela funciona.

    O DIE possui três versões: Versão básica ("DIE"), versão Lite ("DIEL") e versão do console ("DIEC"). Todas usam as mesmas assinaturas, localizadas na pasta "db". Esta pasta contém subpastas como "Binary" e "PE". Os nomes das subpastas correspondem aos tipos de arquivos. 

    O DIE determina o tipo de arquivo e, em seguida, carrega sequencialmente todas as assinaturas que estão na pasta correspondente. Atualmente, o programa suporta os seguintes tipos de arquivos:

    • Arquivos executáveis MS-DOS
    • Arquivos executáveis PE
    • Arquivos executáveis ELF
    • Arquivos executáveis Mach-O
    • Arquivos binários em geral

    Na versão 3.00, a interface foi remodelada. As mudanças que percebemos foram:

    • Novo botão Hash que calcula diferentes hashes, incluindo MD5, SHA1 e SHA-256 de partes do binário (seções, cabeçalhos, etc.) e também dele todo.
    • Remoção do engine do Yara, que não se popularizou muito já que as assinaturas do DIE já são muito boas. Voltamos a ter duas opções: DIE e Nauz File Detector.
    • Novo botão Memory map que mostra uma visualização integrada das seções e disassembla seu conteúdo também.
    • Disassembler com suporte a labels.

    Achamos tudo muito legal, no entanto sentimos falta do suporte a scripts e a função de encontrar constantes que sugerem implementações criptográficas, recurso acessado na opção Search -> Crypto (Botão S) nas versões anteriores à 3.00. Por enquanto, recomendamos ter ambas as versões instaladas. ?

    screenshot.thumb.jpg.d27cfd3952424a8797c3ceef8f095194.jpg

    download.png.c291dd95a61b91691289bf964bc8b47d.png

    Na nossa Aula 02 do curso de Análise de Malware Online – AMO, mostramos a diferença da análise estática de arquivos suspeitos com o pestudio e o DIE. Dá uma olhada:

     

     Compartilhar
    Ir para lista de notícias

    Feedback do Usuário

    Comentários Recomendados

    Não há comentários para mostrar.



    Participe da conversa

    Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

    Visitante
    Adicionar um comentário...

    ×   Você colou conteúdo com formatação.   Remover formatação

      Apenas 75 emojis são permitidos.

    ×   Seu link foi automaticamente incorporado.   Mostrar como link

    ×   Seu conteúdo anterior foi restaurado.   Limpar o editor

    ×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

    ×

×
×
  • Criar Novo...