?輕鬆檢測 (DiE)
Detect It Easy (DiE)是一款功能強大的檔案類型識別工具,深受全球惡意軟體分析師、網路安全專家和逆向工程師的歡迎。 DiE 支援基於簽章的分析和啟發式分析,可跨多種平台(包括Windows、Linux 和 MacOS)進行高效率的檔案檢查。其適應性強、腳本驅動的檢測架構使其成為該領域最通用的工具之一,並具有受支援的作業系統映像的完整清單。
入門
- ?下載版本
- ?下載開發版/測試版
- DIE API 庫(面向開發人員)
- ?變更日誌
- 為翻譯做出貢獻
為什麼要使用 Detect It Easy?
Detect It Easy靈活的簽章系統和腳本編寫功能使其成為惡意軟體分析和數位鑑識的重要工具。由於傳統靜態分析儀的範圍通常有限且容易出現誤報,DiE 的可自訂設計可以精確整合新的偵測邏輯,確保跨不同文件類型獲得可靠的結果。
主要優點:
- 靈活的簽章管理:輕鬆建立、修改和最佳化簽章。
- 跨平台支援:可在 Windows、Linux 和 MacOS 上運作。
- 誤報率最小:結合簽章和啟發式分析可確保高偵測精度。
?支援的文件類型
Detect It Easy 支援多種可執行檔和檔案類型,包括:
- PE (Windows 的可移植可執行格式)
- ELF (Linux 的可執行和可連結格式)
- APK (安卓應用程式套件)
- IPA (iOS 應用程式套件)
- JAR (Java 檔案)
- ZIP (壓縮檔案)
- DEX (適用於 Android 的 Dalvik 執行檔)
- MS-DOS (MS-DOS 執行檔)
- COM (DOS 的簡單執行格式)
- LE/LX (OS/2 的線性執行檔)
- MACH (適用於 MacOS 的 Mach-O 檔案)
- NPM (JavaScript 套件)
- Amiga (Amiga 電腦的可執行格式)
- 二進位(其他未分類檔案)
未知格式經過啟發式分析,提供已知和未識別文件的識別。
?主要特點
- 靈活的簽章管理:定義或修改偵測簽章。
- 腳本檢測:使用類似 JavaScript 的腳本語言進行自訂檢測演算法。
- 跨平台相容性:適用於 Windows、Linux 和 MacOS。
- 減少誤報:結合簽名和啟發式掃描以確保準確性。
?安裝
?透過套件管理器安裝
- Windows : 巧克力色
- Linux :
- Parrot OS :軟體包名稱
detect-it-easy - Arch Linux :AUR 套件 detector-it-easy-git
- openSUSE :OBS
- REMnux :惡意軟體分析分發
注意:透過Telegram使用Detect It Easy機器人快速檢查檔案: @detectiteasy_bot
從原始碼構建
有關詳細說明,請參閱 BUILD.md。
? Docker安裝
在 Docker 容器中運行 DiE:
git clone --recursive https://github.com/horsicq/Detect-It-Easy
cd Detect-It-Easy/
docker build . -t horsicq:diec
用法
Detect It Easy 有三種版本:
- die - 圖形介面。
- diec - 用於批次的命令列版本。
- diel - 輕量級 GUI 版本。
詳細使用方法請參考RUN.md。
?範例用例
- 惡意軟體分析:識別檔案類型、加殼程式或保護。
- 安全審核:確定可執行文件類型和潛在的安全風險。
- 軟體取證:檢查軟體元件並驗證合規性。
?特別感謝
感謝所有貢獻者!
感謝 PELock 軟體保護與逆向工程
