polichombr

Alat ini bertujuan untuk menyediakan kerangka analisis malware kolaboratif.

Dokumentasi yang lebih rinci ditempatkan di folder docs

• Penyimpanan sampel dan dokumentasi
• Analisis malware semi otomatis
• Kolaborasi IDA Pro
• Pembongkaran daring
• Pencocokan biner dengan algoritma hash fuzzy MACHOC
• Pencocokan Yara

Silakan lihat file terkait di direktori dokumen

Skrip di bawah contoh folder mengizinkan beberapa tindakan dasar untuk instance Polichombr.

Polichombr menyediakan mesin untuk mengotomatiskan tugas analisis dengan mengidentifikasi tempat menarik di dalam biner berbahaya, dan menyediakan keduanya pada antarmuka web dan di dalam alat analis melalui API.

Tugas analisis dimuat dari direktori app/controllers/tasks, dan harus mewarisi dari objek Task. Secara khusus, beberapa tugas telah dilaksanakan:

• AnalyzeIt, skrip ruby ​​​​berdasarkan metasm, yang digunakan untuk mengidentifikasi poin-poin menarik dalam biner. Tujuannya adalah untuk membantu analis dengan memberikan petunjuk tentang di mana untuk memulai. Misalnya, kami mencoba mengidentifikasi loop kripto, fungsi yang memanggil API sensitif (file, proses, jaringan, ...)

• Peinfo : Kami memuat metadata PE dengan perpustakaan peinfo.

• Strings : mengekstrak string ASCII dan Unicode

Kami menggunakan beberapa model tanda tangan untuk mengklasifikasikan malware:

• Yara
• dorongan
• macho

Machoc adalah algoritma berbasis CFG untuk mengklasifikasikan malware. Untuk informasi lebih lanjut, silakan merujuk ke dokumentasi berikut:

• Deskripsi formal
• Kertas asal

Ini adalah plugin IDAPython, yang digunakan untuk menyinkronkan nama dan komentar dengan basis pengetahuan, dan dengan basis data pengguna lain

Kontribusi dipersilakan, jadi silakan baca CONTRIBUTING.md untuk mengetahui cara cepat mendapatkan bantuan atau menambahkan fitur di Polichombr