Noriben – 基于Python的恶意软件分析沙箱

Noriben是一个基于python的脚本,与Sysinternals Procmon一起工作,可以自动收集,分析和报告恶意软件的运行时指示器。简而言之,它允许您运行恶意软件,并获取恶意软件活动的简单文本报告。

该工具只需要Sysinternals procmon.exe(或procmon64.exe)即可运行。Noriben是许多异常恶意软件实例的理想解决方案,例如那些不能从标准沙箱环境中运行的恶意软件实例。这些文件可能需要命令行参数,或者必须进行有效调试的VMware / OS检测或非常长的睡眠周期。这些问题与Noriben消失。 

只需运行Noriben,然后运行恶意软件,使其运行。如果有主动保护,在Noriben 运行时在OllyDbg / Immunity内运行,并绕过任何反分析检查。如果它的活动在几天内发生变化,只需在长周末启动Noriben和恶意软件,并在重新开始工作时处理结果。

特征: 

  • 如果您有YARA签名文件的文件夹,您可以使用--yara 选项指定它。每个新文件都将根据这些签名进行扫描,结果显示在输出结果中。

  • 如果您有VirusTotal API,请将其放入名为“ virustotal.api ” 的文件(或直接嵌入脚本中)以自动向VT提交MD5文件哈希以获得病毒结果的数量。

  • 您可以添加MD5列表以自动忽略(例如所有系统文件)。使用md5deep并将它们放入文本文件中,使用--hash来读取它们。

  • 您可以自动执行沙箱使用脚本。使用-t自动执行时间,使用--cmd “ path \ exe ”指定恶意软件文件,您可以自动运行恶意软件,将结果复制掉,然后恢复运行新样本。

  • - generalize功能将自动将绝对路径替换为Windows环境路径,以实现更好的IOC开发。

    下载地址:https://github.com/Rurik/Noriben

仅供于学习研究使用,不得非法使用,如非法操作,责任自行承担

文章出处:http://www.effecthacking.com,由华盟网翻译排版,转载请注明华盟网

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

3

发表评论

// 360自动收录 // 360自动收录