特征
-
标头信息来自:MSDOS 标头、丰富标头、COFF 文件标头、可选标头、节表
-
PE 结构:导入部分、资源部分、导出部分、调试部分
-
扫描文件格式异常
-
可视化文件结构、局部熵和字节图,并将其另存为 PNG
-
计算 Shannon Entropy、Imphash、MD5、SHA256、Rich 和 RichPV 哈希
-
叠加和叠加签名扫描
-
版本信息和清单
-
图标提取并保存为PNG
-
通过 Yara 进行定制签名扫描。使用 PEiD 签名和内部文件类型扫描器进行内部签名扫描。
项目地址
https://github.com/struppigel/PortexAnalyzerGUI
原文始发于微信公众号(TtTeam):安服神器 - 恶意软件分析库
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论