Jump to content
  • Extraindo strings ofuscadas de malware


    Bruna Chieco

    Se você analisa malware, certamente já buscou pelas strings de texto dentro dos binários, pois elas podem dar indícios de onde o malware se conecta, podem conter os caminhos e nomes de arquivos que criam, etc. À parte de ferramentas como o comando strings e o pestr (do nosso toolkit do pev), gostaria de te convidar pra conhecer mais uma!

    O FLOSS (FireEye Labs Obfuscated String Solver) é um extrator de texto feito especialmente para extrair strings ofuscadas de arquivos suspeitos e samples de malware. O solucionador de strings do FireEye Labs usa técnicas avançadas de análise estática para tal. O software é livre, gratuito e multiplataforma, rodando em Windows, Linux e macOS.

    No dia 10 de junho de 2020, o FireEye Labs divulgou a versão 2020 Twizzler, que contém algumas correções e adiciona funcionalidades, como:

    • Scripts para o IDA e o Binary Ninja, fazendo com que eles trabalhem juntos.
    • Opção para configurar o máximo de instruções que você quer emular.
    • Saída em JSON (JavaScript Object Notation).

    No mesmo dia, eles ainda liberaram a versão 1.6.1 com mais algumas correções. Veja o changelog completo e faça o download da ferramenta aqui.

    E para entender como uma string fica dentro de um binário, recomendamos que assista à aula 4 do nosso CERO – Curso de Engenharia Reversa Online:

     


    User Feedback

    Recommended Comments



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...