PEpper：一款针对可执行程序的开源恶意软件静态分析工具

文章目录

• 工具安装
• 工具运行截图
  • CSV输出
• 特征提取
• 注意事项
  • 参考代码库
• 项目地址

今天给大家介绍的是一款名叫PEpper的工具，这是一款开源的脚本工具，广大研究人员可以利用该工具来对可执行程序进行恶意软件静态分析。

工具安装

[email protected]:~$ git clone https://github.com/Th3Hurrican3/PEpper/

[email protected]:~$ cd PEpper

[email protected]:~$ pip3 install -r requirements.txt

[email protected]:~$ python3 pepper.py ./malware_dir

工具运行截图

CSV输出

特征提取

可疑的熵比；

可疑代码大小；

可疑的调试时间戳；

出口流量数量；

反调试调用数；

虚拟机检测调用数；

可疑的API调用数；

可疑的字符串数；

YARA规则匹配数；

URL数量；

IP数量；

GS支持；

CFG支持；

DEP支持；

ASLR支持；

SEH支持；

TLS支持；

导入哈希；

VirusTotal数据库检测；

封装器检测；

数字证书检测；

注意事项

1、可直接针对单个或多个PE进行分析；

2、可将分析结果输出保存为output.csv文件；

3、支持使用VirusTotal Scan，需在virustotal.py文件中添加VirusTotal私钥（要求联网）；

参考代码库

1、LIEF项目：【传送门】

2、PEstudio：【传送门】

3、PEframe：【传送门】

4、Yara-Rules:【传送门】

项目地址

PEpper：【GitHub传送门】

* 参考来源：Th3Hurrican3，FB小编Alpha_h4ck编译，转载请注明来自一一网络博客