polichombr

該工具旨在提供協作惡意軟體分析框架。

更詳細的文件放在docs資料夾中

• 樣品儲存和文檔
• 半自動化惡意軟體分析
• IDA Pro 協作
• 線上拆解
• 使用 MACHOC 模糊雜湊演算法進行二進位匹配
• 雅拉匹配

請查看docs目錄下對應的文件

example 資料夾下的腳本允許對 Polichombr 實例執行一些基本操作。

Polichombr 提供了一個引擎來自動執行分析任務，方法是識別惡意二進位檔案中的興趣點，並透過 API 在 Web 介面和分析師工具中提供這些興趣點。

分析任務從 app/controllers/tasks 目錄加載，並且必須繼承自 Task 物件。特別是，已經實施了幾項任務：

• AnalyzeIt，一個基於 Metasm 的 ruby​​ 腳本，用於識別二進位檔案中有趣的點。目標是透過給出從哪裡開始的提示來幫助分析師。例如，我們嘗試識別加密循環、呼叫敏感 API（檔案、進程、網路…）的函數

• Peinfo ：我們使用 peinfo 函式庫來載入 PE 元資料。

• 字串：提取 ASCII 和 Unicode 字串

我們使用幾種簽章模型來對惡意軟體進行分類：

• 雅拉
• 因法什
• 馬霍克

Machoc 是一種基於 CFG 的惡意軟體分類演算法。如需了解更多信息，請參閱以下文件：

• 正式描述
• 原論文

這是一個IDAPython插件，用於將姓名和評論與知識庫以及其他用戶資料庫同步

歡迎貢獻，因此請閱讀 CONTRIBUTING.md 以快速開始如何在 Polichombr 中獲取幫助或添加功能