恶意软件分析工具,从文件中提取感兴趣的模式,如XOR等混淆破解
项目描述
Balbuzard
[Balbuzard](http://www.decalage.info/python/balbuzard) 是一个Python恶意软件分析工具包,用于从可疑文件中 提取感兴趣的模式(IP地址、域名、已知文件头、有趣字符串等)。
它还可以通过暴力破解和检查这些模式来 破解恶意软件混淆,如XOR、ROL等。
快速链接:[下载](http://bitbucket.org/decalage/balbuzard/downloads) - [安装](https://bitbucket.org/decalage/balbuzard/wiki/Installation) - [文档](https://bitbucket.org/decalage/balbuzard/wiki) - [联系](http://www.decalage.info/contact) - [报告问题](https://bitbucket.org/decalage/balbuzard/issues?status=new&status=open) - [Twitter上的更新](https://twitter.com/decalage2)
## Balbuzard 工具
[balbuzard](https://bitbucket.org/decalage/balbuzard/wiki/balbuzard/) 是一个工具,用于从恶意文件中提取感兴趣的模式,如IP地址、URL、嵌入文件和典型的恶意软件字符串。它可以通过添加新的模式、正则表达式和Yara规则轻松扩展。
bbcrack (https://bitbucket.org/decalage/balbuzard/wiki/bbcrack/) 使用基于感兴趣模式的新算法,对常见的恶意软件进行暴力破解,例如 XOR、ROL、ADD 等各种组合的混淆(https://bitbucket.org/decalage/balbuzard/wiki/Transforms),以猜测使用了哪些算法/密钥。
bbharvest (https://bitbucket.org/decalage/balbuzard/wiki/bbharvest/) 提取在应用常见的恶意软件混淆转换(https://bitbucket.org/decalage/balbuzard/wiki/Transforms)时发现的感兴趣模式,例如 XOR、ROL、ADD 和各种组合,尝试所有可能的密钥。当单个文件中使用了多个密钥或多个转换时,特别有用。
bbtrans (https://bitbucket.org/decalage/balbuzard/wiki/bbtrans/) 可以将 bbcrack 中的任何转换(XOR、ROL、ADD 以及各种组合)应用于文件。
## 使用这些工具的时机
如果您需要分析一个新恶意文件,您首先可以尝试使用 [balbuzard (https://bitbucket.org/decalage/balbuzard/wiki/balbuzard/)] 来提取感兴趣的字符串/模式,并检测明文中的嵌入式文件。
然后,如果您认为恶意文件可能使用 XOR 等混淆算法来隐藏有趣的数据(例如嵌入式可执行文件),则尝试使用 [bbcrack (https://bitbucket.org/decalage/balbuzard/wiki/bbcrack/)] 来找到算法和密钥。
或者,如果 bbcrack 不成功,或者您认为文件可能使用多个算法和/或密钥,请尝试 [bbharvest (https://bitbucket.org/decalage/balbuzard/wiki/bbharvest/)]。bbharvest 特别针对可执行文件或恶意文件中的单个字符串混淆。
## 5分钟演示
请访问 [演示页面 (https://bitbucket.org/decalage/balbuzard/wiki/Demo/)] 查看示例,并在几分钟内使用提供的样本测试这些工具。
## 求助
如果您有 XOR 等已知混淆算法的恶意软件样本或恶意文档,请 [联系我 (http://www.decalage.info/contact)]。这将极大地帮助我改进 bbcrack 和 bbharvest。
如果您知道 Balbuzard 应该支持的、用于恶意软件分析的有用的其他字符串、模式、文件头,或其他 [混淆算法 (https://bitbucket.org/decalage/balbuzard/wiki/Transforms)],请 [联系我 (http://www.decalage.info/contact)]。
有关更多信息和其他工具,请访问 <http://www.decalage.info/python/balbuzard>。
# 新闻
关注 Twitter 上的所有更新和新闻:<https://twitter.com/decalage2>
2014-05-22: Balbuzard v0.19 已包含在 [REMnux v5](http://blog.zeltser.com/post/86508269224/remnux-v5-release-for-malware-analysts) 中,已预安装并准备使用。
2014-03-23 v0.19:当 Yara 未安装时的错误修复,改进 [文档 (https://bitbucket.org/decalage/balbuzard/wiki)]。
2014-02-26 v0.18:Balbuzard 工具的初始发布。
2013-03-15:添加了收获模式(bbharvest)。
2011-05-06:添加了暴力破解函数(bbcrack)。
2008-06-06:作为 [SSTIC08](http://decalage.info/sstic08) 的 [reScan](http://decalage.info/rescan) 的第一个公共版本。
2007-07-11:reScan 的第一个版本。
有关更多信息,请查看源代码中的变更日志。
# 下载
存档可以在 [Bitbucket 上的项目页面 (https://bitbucket.org/decalage/balbuzard/downloads)] 上找到。
# 安装
请参阅[安装说明](https://bitbucket.org/decalage/balbuzard/wiki/Installation).
如何贡献/报告错误/寻求帮助
这些是我在业余时间开发的开源工具。任何贡献,如代码改进、想法、错误报告、额外的模式或转换,都将非常感谢。您可以使用[这个在线表单](http://www.decalage.info/contact)、电子邮件(decalage at laposte.net)或使用[Bitbucket上的问题页面](https://bitbucket.org/decalage/balbuzard/issues?status=new&status=open)来报告错误/想法,或者克隆项目然后向我发送拉取请求以提出更改。
许可
本许可证适用于整个Balbuzard包,包括balbuzard、bbcrack、bbharvest和bbtrans,但第三方和插件文件夹除外,这些文件夹包含带有自身许可证的第三方文件。
Balbuzard包版权所有(c)2007-2014,Philippe Lagadec(《http://www.decalage.info》)保留所有权利。
在满足以下条件的情况下,允许以源代码和二进制形式重新分配和使用,无论是否修改
源代码的重新分配必须保留上述版权声明、本条件列表和以下免责声明。
二进制形式的重新分配必须复制上述版权声明、本条件列表和以下免责声明在随分发提供的文档和/或其他材料中。
本软件由版权所有者和贡献者“按原样”提供,并明确或暗示地放弃了任何保证,包括但不限于适销性和特定用途的适用性保证。在任何情况下,版权所有者或贡献者不应对任何直接、间接、偶然、特殊、示范性或后果性的损害(包括但不限于替代商品或服务的采购;使用、数据或利润的损失;或业务中断)承担责任,无论这些损害是由于何种原因引起的,无论根据何种责任理论,即使在被告知此类损害可能性的情况下。
balbuzard-0.20.tar.gz的散列值
| 算法 | 散列摘要 | |
|---|---|---|
| SHA256 | 8c3229e0787221a8e18a674cc38e5033c9ad4ba3d01932eec0d15074f8c3cfa8 |
|
| MD5 | b4e2259bf7ad97f99c0e82a55157733b |
|
| BLAKE2b-256 | 91ed463c10244aca6516f0a7c1354044b3ff379c5747ff7607760f6a541d71df |
