PE Tree:一个恶意软件逆向工程分析开源工具

近日,由BlackBerry Research and Intelligence团队开发的PE Tree——一种恶意软件逆向工程开源工具,现已向网络安全社区免费提供。

PE Tree允许恶意软件分析人员使用pefile(可解析和使用PE文件的多平台Python模块)以及PyQt5(可用于创建图形用户界面)在树状视图中查看可移植可执行(PE)文件。

“PE Tree用Python开发,支持Windows、Linux和Mac操作系统。它可以作为独立应用程序或IDAPython插件安装和运行。”BlackBerry威胁研究人员Tom Bonner解释说。

基于Python的工具可解析PE文件并将其映射到树视图中,它们提供了各种标头的概述。突出显示可疑的结果,分析人员可以通过VirusTotal搜索,将PE文件的一部分导出到CyberChef进行进一步处理,从IDA数据库中查找和转储PE文件以及重构导入等深入研究。

“恶意软件的逆向工程是一个非常耗时耗力的过程,尤其是解构软件程序。”BlackBerry团队指出。

下一个版本的重点

网络安全和IT公司(以及政府机构)在内部使用开源安全工具并不罕见。

Bonner指出,这个免费的逆向工程工具正在积极开发中,并且将频繁添加新功能。

他分享道:“下一个主要版本的重点是对Rekall的支持,提供从内存转储或实时系统查看和转储进程的能力。”Rekall框架是用于提取和数字文物计算机系统的分析工具的集合。

BlackBerry研究运营副总裁埃里克·米拉姆(Eric Milam)表示:

随着网络犯罪不断发展,网络安全社区的武器库也需要增添一些新式武器了。我们PE Tree能够提高网络安全社区在这场斗争中的战斗力,如今,全球有超过十亿个恶意软件,并且每年新增超过1亿个恶意软件。

参考资料

PE Tree地址:

https://github.com/blackberry/pe_tree

上一篇:ISC2020势如破竹 上线两天参会人数赶超七年累计人数7倍

下一篇:关于XDR,你必须了解的十件事