pftriage es una herramienta para ayudar a analizar archivos durante la clasificación de malware . Permite a un analista ver y extraer rápidamente las propiedades de un archivo para ayudar durante el proceso de clasificación. La herramienta también tiene una función de análisis que puede detectar indicadores maliciosos comunes utilizados por el malware.
Dependencias
- pefile
- filemágico
Nota: En Mac: Apple ha implementado su propia versión del comando de archivo. Sin embargo, libmagic se puede instalar usando homebrew
$ brew install libmagicUso
usage: pftriage [options]
Show information about a file for triage.
positional arguments:
file The file to triage.
optional arguments:
-h, --help show this help message and exit
-i, --imports Display import tree
-s, --sections Display overview of sections. For more detailed info
pass the -v switch
--removeoverlay Remove overlay data.
--extractoverlay Extract overlay data.
-r, --resources Display resource informations
-D DUMP_OFFSET, --dump DUMP_OFFSET
Dump data using the passed offset or 'ALL'. Currently
only works with resources.
-a, --analyze Analyze the file.
-v, --verbose Display version.
-V, --version Print version and exit.Las secciones
muestran la información de la sección utilizando el modificador -s o –sections. Además, puede pasar (-v) para obtener una vista más detallada de los detalles de la sección.
Para exportar una sección, pase –dump y la sección Virtual Address deseada. (por ejemplo: volcado 0x00001000)
---- Section Overview (use -v for detailed section info) ----
Name Raw Size Raw Data Pointer Virtual Address Virtual Size Entropy Hash
.text 0x00012200 0x00000400 0x00001000 0x000121d8 6.71168555177 ff38fce4f48772f82fc77b4ef223fd74
.rdata 0x00005a00 0x00012600 0x00014000 0x0000591a 4.81719489022 b0c15ee9bf8480a07012c2cf277c3083
.data 0x00001a00 0x00018000 0x0001a000 0x0000ab80 5.28838495072 5d969a878a5106ba526aa29967ef877f
.rsrc 0x00002200 0x00019a00 0x00025000 0x00002144 7.91994689603 d361caffeadb934c9f6b13b2474c6f0f
.overlay 0x00009b30 0x0001bc00 0x00000000 0x00000000 0 N/ARecursos
Muestra los datos de recursos usando -r o –resources.
---- Resource Overview ----
Type: CODATA
Name Language SubLang Offset Size Code Page Type
0x68 LANG_RUSSIAN RUSSIAN 0x000250e0 0x00000cee 0x000004e4
0x69 LANG_RUSSIAN RUSSIAN 0x00025dd0 0x000011e6 0x000004e4
Type: RT_MANIFEST
Name Language SubLang Offset Size Code Page Type
0x1 LANG_ENGLISH ENGLISH_US 0x00026fb8 0x0000018b 0x000004e4
Para extraer un recurso específico use -D con el desplazamiento deseado. Si desea extraer todos los recursos, pase TODO istead de un desplazamiento específico.
Importaciones
Mostrar datos y módulos de importación utilizando -i o –imports. Las importaciones que se identifiquen como ordinales se identificarán e incluirán el ordinal utilizado.
[*] Loading File...
---- Imports ----
Number of imported modules: 4
KERNEL32.dll
|-- GetProcessHeap
|-- HeapFree
|-- HeapAlloc
|-- SetLastError
|-- GetLastError
WS2_32.dll
|-- getaddrinfo
|-- freeaddrinfo
|-- closesocket Ordinal[3] (Imported by Ordinal)
|-- WSAStartup Ordinal[115] (Imported by Ordinal)
|-- socket Ordinal[23] (Imported by Ordinal)
|-- send Ordinal[19] (Imported by Ordinal)
|-- recv Ordinal[16] (Imported by Ordinal)
|-- connect Ordinal[4] (Imported by Ordinal)
ole32.dll
|-- CoCreateInstance
|-- ...
Exportaciones
Muestra las exportaciones usando -e o –exports.
[*] Loading File...
---- Exports ----
Total Exports: 5
Address Ordinal Name
0x00001151 1 FindResources
0x00001103 2 LoadBITMAP
0x00001137 3 LoadICON
0x000010e9 4 LoadIMAGE
0x0000111d 5 LoadSTRINGW
Archivo de metadatos y metadatos de la versión se muestran si no se pasan opciones en la línea de comandos.
[*] Loading File...
[*] Processing File details...
---- File Summary ----
General
Filename samaple.exe
Magic Type PE32 executable (GUI) Intel 80386, for MS Windows
Size 135168
First Bytes 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00
Hashes
MD5 8e8a8fe8361c7238f60d6bbfdbd304a8
SHA1 557832efe10daff3f528a3c3589eb5a6dfd12447
SHA256 118983ba4e1c12a366d7d6e9461c68bf222e2b03f3c1296091dee92ac0cc9dd8
Import Hash 0239fd611af3d0e9b0c46c5837c80e09
ssdeep
Headers
Subsystem IMAGE_SUBSYSTEM_WINDOWS_GUI
Linker Version 12.0 - (Visual Studio 2013)
Image Base 0x400000
Compile Time Thu Jun 23 16:04:21 2016 UTC
Checksum 0
Filename sample.exe
EP Bytes 55 8b ec 51 83 65 fc 00 8d 45 fc 56 57 50 e8 64
Signature 0x4550
First Bytes 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00
Sections 4
Entry Point 0x139de
Packed False
Size 135168
Characteristics
IMAGE_FILE_32BIT_MACHINE
IMAGE_FILE_EXECUTABLE_IMAGE
IMAGE_FILE_RELOCS_STRIPPED
Analizar
PFTriage puede realizar un análisis simple de un archivo para identificar características maliciosas.
[*] Loading File...
[*] Analyzing File...
[*] Analysis Complete...
[!] Checksum Invalid CheckSum
[!] AntiDebug AntiDebug Function import [GetTickCount]
[!] AntiDebug AntiDebug Function import [QueryPerformanceCounter]
[!] Imports Suspicious API Call [TerminateProcess]
[!] AntiDebug AntiDebug Function import [SetUnhandledExceptionFilter]
[!] AntiDebug AntiDebug Function import [IsDebuggerPresent]
Datos de
superposición Los datos de superposición se identifican mediante el análisis o la visualización de la información de sección del archivo. Si existen datos de superposición, PFTriage puede eliminar los datos utilizando el interruptor (–removeoverlay) o exportar los datos de superposición utilizando el interruptor (–extractoverlay).
Fuente: kitploit.com
