polichombr

该工具旨在提供协作恶意软件分析框架。

更详细的文档放在docs文件夹中

• 样品存储和文档
• 半自动化恶意软件分析
• IDA Pro 协作
• 在线拆解
• 使用 MACHOC 模糊哈希算法进行二进制匹配
• 雅拉匹配

请查看docs目录下对应的文件

example 文件夹下的脚本允许对 Polichombr 实例执行一些基本操作。

Polichombr 提供了一个引擎来自动执行分析任务，方法是识别恶意二进制文件中的兴趣点，并通过 API 在 Web 界面和分析师工具中提供这些兴趣点。

分析任务从 app/controllers/tasks 目录加载，并且必须继承自 Task 对象。特别是，已经实施了几项任务：

• AnalyzeIt，一个基于 Metasm 的 ruby​​ 脚本，用于识别二进制文件中有趣的点。目标是通过给出从哪里开始的提示来帮助分析师。例如，我们尝试识别加密循环、调用敏感 API（文件、进程、网络等）的函数

• Peinfo ：我们使用 peinfo 库加载 PE 元数据。

• 字符串：提取 ASCII 和 Unicode 字符串

我们使用几种签名模型来对恶意软件进行分类：

• 雅拉
• 因法什
• 马霍克

Machoc 是一种基于 CFG 的恶意软件分类算法。如需了解更多信息，请参阅以下文档：

• 正式描述
• 原论文

这是一个IDAPython插件，用于将姓名和评论与知识库以及其他用户数据库同步

欢迎贡献，因此请阅读 CONTRIBUTING.md 以快速开始如何在 Polichombr 中获取帮助或添加功能