特征
-
标头信息来自:MSDOS 标头、丰富标头、COFF 文件标头、可选标头、节表
-
PE 结构:导入部分、资源部分、导出部分、调试部分
-
扫描文件格式异常
-
可视化文件结构、局部熵和字节图,并将其另存为 PNG
-
计算 Shannon Entropy、Imphash、MD5、SHA256、Rich 和 RichPV 哈希
-
叠加和叠加签名扫描
-
版本信息和清单
-
图标提取并保存为PNG
-
通过 Yara 进行定制签名扫描。使用 PEiD 签名和内部文件类型扫描器进行内部签名扫描。
项目地址
https://github.com/struppigel/PortexAnalyzerGUI
原文始发于微信公众号(TtTeam):安服神器 - 恶意软件分析库
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论