A FireEye lançou nesta sexta-feira a release da versão 1.70 da flare-floss (FireEye Labs Obfuscated String Solver), ferramenta focada em identificar e desofuscar strings escondidas dentro de um arquivo, utilizando desde reconhecimento baseado em heurística até brute-forcing e emulação. Até o momento a ferramenta suporta apenas análise de binários Windows (PE).
A ideia da ferramenta veio do fato de que os malwares atuais utilizam diversas técnicas diferentes para proteger strings importantes de um malware, como por exemplo URL, IP, configuração, paths, etc:
Dentre os novos itens desta release está a adição de um um parâmetro para saída em JSON e correções em funcionalidades como suporte para IDA 7.4+ e no algoritmo de reconhecimento de strings. A funcionalidade de output em JSON é particularmente interessante no ponto de vista de automação, onde poderíamos usar todas as strings desofuscadas pela ferramenta como input para um script do qual se conecta com outra ferramenta, por exemplo:
A ferramenta possui várias outras funcionalidades como por exemplo desofuscar strings em shellcodes e funções específicas do binário e também criação de scripts para o radare e IDA à fim de serem utilizados em seus arquivos ".r2" e ".idb":
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.