stella
Windowsには、pestudioとか素晴らしいツールがあるのですが。
kali linuxのvirtualbox上でwindows7とか10を動かすのは、いくら16GBのメモリを積んでるからと言っても極力避けたいのです。
そこでlinux上でぱぱっと動くWindowsマルウェア表層解析ツールを作ろうと思いました。幸いなことにlinuxにはxxd・strings・fileなどの素晴らしいコマンドがあるので
時短のためにもそれらを使って作りました。
stellaとstellafの2つを作ったのですが、
stellaとstellafの違いは、stringsコマンドかflossを使っているかの違いです。
マルウェアの中には、自身が簡単に解析されないように難読化をしているものがあります。難読化されている.exeファイルには "stellaf" を使ってください。
stellafのfは、flossというツールのfです。
使い方
マルウェアの解析でよく出てくる怪しいstringsをまとめて、このマルウェアがどんな動きをするのかを最後にまとめてあります。↓
linuxをお持ちでしたら、ぜひ一度試してみてください。
追記。。。。
stella_2.0をリリースしました。stellaは表形式で一気に表示しますが、それだと見たいところを見ることができないと思い、対話形式で動くようにしました。
また、前回はパスなど考えていなかったところまでやり、
パスを予め通してインストールすることで
ディレクトリを気にすることなくstellaを動かせるようにしました。
stella_1.0ではflossツールを使用するstellafとstellaで分けていましたが、
stella_2.0では内包して気軽にflossツールを使用することができます。
相変わらず、flossを使うと処理時間が長くなってしまうのも問題点だと思うので、
改善点だと自分でも考えています。
みなさん、マルウェアの表層解析にstella_2.0を
表層解析はだいぶ詰められたと思うので?、静的解析ツールなどを作っていきたいところです。