近日,由BlackBerry Research and Intelligence团队开发的PE Tree——一种恶意软件逆向工程开源工具,现已向网络安全社区免费提供。
PE Tree允许恶意软件分析人员使用pefile(可解析和使用PE文件的多平台Python模块)以及PyQt5(可用于创建图形用户界面)在树状视图中查看可移植可执行(PE)文件。
“PE Tree用Python开发,支持Windows、Linux和Mac操作系统。它可以作为独立应用程序或IDAPython插件安装和运行。”BlackBerry威胁研究人员Tom Bonner解释说。
基于Python的工具可解析PE文件并将其映射到树视图中,它们提供了各种标头的概述。突出显示可疑的结果,分析人员可以通过VirusTotal搜索,将PE文件的一部分导出到CyberChef进行进一步处理,从IDA数据库中查找和转储PE文件以及重构导入等深入研究。
“恶意软件的逆向工程是一个非常耗时耗力的过程,尤其是解构软件程序。”BlackBerry团队指出。
下一个版本的重点
网络安全和IT公司(以及政府机构)在内部使用开源安全工具并不罕见。
Bonner指出,这个免费的逆向工程工具正在积极开发中,并且将频繁添加新功能。
他分享道:“下一个主要版本的重点是对Rekall的支持,提供从内存转储或实时系统查看和转储进程的能力。”Rekall框架是用于提取和数字文物计算机系统的分析工具的集合。
BlackBerry研究运营副总裁埃里克·米拉姆(Eric Milam)表示:
随着网络犯罪不断发展,网络安全社区的武器库也需要增添一些新式武器了。我们PE Tree能够提高网络安全社区在这场斗争中的战斗力,如今,全球有超过十亿个恶意软件,并且每年新增超过1亿个恶意软件。
参考资料
PE Tree地址:
https://github.com/blackberry/pe_tree