Se você analisa malware, certamente já buscou pelas strings de texto dentro dos binários, pois elas podem dar indícios de onde o malware se conecta, podem conter os caminhos e nomes de arquivos que criam, etc. À parte de ferramentas como o comando strings e o pestr (do nosso toolkit do pev), gostaria de te convidar pra conhecer mais uma!
O FLOSS (FireEye Labs Obfuscated String Solver) é um extrator de texto feito especialmente para extrair strings ofuscadas de arquivos suspeitos e samples de malware. O solucionador de strings do FireEye Labs usa técnicas avançadas de análise estática para tal. O software é livre, gratuito e multiplataforma, rodando em Windows, Linux e macOS.
No dia 10 de junho de 2020, o FireEye Labs divulgou a versão 2020 Twizzler, que contém algumas correções e adiciona funcionalidades, como:
- Scripts para o IDA e o Binary Ninja, fazendo com que eles trabalhem juntos.
- Opção para configurar o máximo de instruções que você quer emular.
- Saída em JSON (JavaScript Object Notation).
No mesmo dia, eles ainda liberaram a versão 1.6.1 com mais algumas correções. Veja o changelog completo e faça o download da ferramenta aqui.
E para entender como uma string fica dentro de um binário, recomendamos que assista à aula 4 do nosso CERO – Curso de Engenharia Reversa Online:
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.