Black Hat | PE Tree:BlackBerry 发布PE文件开源逆向工具
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
BlackBerry 在今年举办的美国黑帽大会上为网络安全社区发布了一款新工具:PE Tree。
PE Tree 是一款适用于 Linux、Mac 和 Windows 系统的基于 Python 的一款应用,可供逆向工程师分析可移植可执行文件 (PE) 文件的内部结构。PE 文件是恶意软件作者常用于隐藏恶意 payload 的常见文件。
上周,PE Tree 已在 GitHub 上开源,不过正式发布是在今天。
Blackberry 在新闻稿中表示,“对恶意软件进行逆向工程是一件极其耗费时间和精力的过程,可能涉及数小时的反汇编过程,有时候需要解构软件程序。BlackBerry 研究和情报团队最初开发了这款开源工具供内部使用,现在向恶意软件逆向社区开放。”
BlackBerry 指出,PE Tree 的好处包括:
以易于导航的树状图形式列出 PE 文件内容
集成 IDA Pro 反编译器(PE 结构易于导航、转储内存中的PE文件、执行导入重构)
集成 VirusTotal 搜索
可向 CyberChef 发送数据
可以独立应用或以 IDAPython 插件的方式运行
开源许可允许社区做出贡献
PE Tree 是 PE-bear 的可替代选择,后者是由 Malwarebytes公司恶意软件分析师 Aleksandra “Hasherezade”Doniec 开发的。
网络安全公司拥抱开源
PE Tree 也标志着另外一款有用的网络安全工具进入开源空间。这是网络安全公司做出的一个重大改变,此前网络安全公司一般都仅在内部使用这类工具,或者闭源开发且受昂贵的商用许可保护。
两年来,我们已经看到网络安全公司开源的多款工具:
FireEye 发布 CommandoVM:一款基于 Windows 的虚拟机,专为恶意软件研究构建,是社区最爱操作系统 Kali Linux 的替代选项。https://github.com/fireeye/commando-vm
FireEye 发布 Flashmingo:一款用于自动搜索Flash漏洞的app。https://github.com/fireeye/flashmingo
FireEye 发布 Cresendo:一款用于 macOS 的实时事件查看器。https://github.com/SuprHackerSteve/Crescendo
FireEye 发布 StringSifter:一款机器学习工具,可自动基于和恶意软件分析的相关性对字符串进行排序。
https://github.com/fireeye/stringsifter
FireEye 发布 SharPersist:一款红队工具,用于通过多种不同技术在 Windows 建立可持久性。
https://github.com/fireeye/SharPersist
FireEye 发布 Capa:一款可分析恶意软件并检测恶意能力的工具。
https://github.com/fireeye/capa
Firefox 发布 SilkETW:一款用于收集并搜索Windows事件追踪 (ETW) 日志的工具。
https://github.com/fireeye/SilkETW
波兰CERT发布 DRAKVUF:一款自动的管理程序级别的恶意软件分析系统/沙箱。
https://github.com/CERT-Polska/drakvuf-sandbox
CyberArk 发布 SkyWrapper:可扫描 AWS 基础设施且可检测黑客是否已经滥用自我复制令牌维持对受陷系统的访问权限。
https://github.com/cyberark/SkyWrapper
CyberArk 发布 SkyArk:用于检测AWS 和 Azure 环境中影子管理员账户的工具。
https://github.com/cyberark/SkyArk
F-Secure 发布 TamaGo:用于裸机片上系统 (SoC) 组件的一款基于 Go 语言的固件。
https://github.com/f-secure-foundry/tamago
F-Secure 发布Jandroid:用于识别安卓潜在逻辑 bug 利用链的工具。
https://github.com/FSecureLABS/Jandroid
F-Secure 发布 C3:用于构建自定义命令和控制服务器的开源工具。
https://github.com/FSecureLABS/C3
SEC Consult 发布 SEC Xtractor:用于硬件利用和固件提取的工具。
https://github.com/sec-consult
NCC Group 发布 Sniffle:全球首个开源的 Bluetooth 5 嗅探器。
https://github.com/nccgroup/sniffle
NCC Group 发布 Phantom Tap(Phantap):用于静默拦截网络流量的工具。
https://github.com/nccgroup/phantap
NCC Group 发布 WStalker:用于支持 web API 调用测试的代理。
https://github.com/nccgroup/wstalker
谷歌发布“海啸(Tsunami)”:专为大型企业设计的漏洞扫描器。
https://github.com/google/tsunami-security-scanner
谷歌发布 UKIP:用于阻止 Linux 系统上 USB 击键注入攻击的工具。
https://github.com/google/ukip#installation-prerequisites
谷歌发布 Sandboxed API:Linux C/C++ 库沙箱项目。
https://github.com/google/sandboxed-api
Cloudflare 发布 Flan Scan:一款网络漏洞扫描器。
https://github.com/cloudflare/flan
Red Canary 发布 Chain Reactor:用于在 Linux 系统上模拟竞争对手的工具。
https://github.com/redcanaryco/chain-reactor
SpecterOps 发布 Satellite:用于红队的payload 和代理服务。
https://github.com/t94j0/satellite
Trustwave 发布 SCShell:依赖于 Service Manager 的无文件横向移动工具。
https://github.com/SpiderLabs/SCShell
Trustwave 发布 CrackQ:用于管理消息队列系统中 hashcat 密码破解任务的工具。
https://github.com/f0cker/crackq
法国ANSSI网络安全局发布 DFIR ORC:专用于 Windows 系统工件收集的开源取证工具。
https://github.com/dfir-orc/dfir-orc
Sophos 发布 Sandboxie:用户友好的 app,使用户能够在自身受陷的容器中沙箱(隔离)危险 app。
https://github.com/sandboxie/sandboxie
NSA 发布 Ghidra:完善的软件逆向工具集。
https://github.com/NationalSecurityAgency/ghidra
Intel 发布 HBFA:用于固件安全测试的 app。
https://github.com/tianocore/edk2-staging/tree/HBFA
推荐阅读
GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞
谷歌开源漏洞扫描器“海啸”,专为大型企业服务
原文链接
https://www.zdnet.com/article/blackberry-releases-new-security-tool-for-reverse-engineering-pe-files/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看”
Black Hat | PE Tree:BlackBerry 发布PE文件开源逆向工具相关推荐
- usb3.0导入工具pe_BlackHat大会上,BlackBerry宣布开源逆向工具PE Tree
在8月3日举办的BlackHat大会上,BlackBerry宣布开源PE逆向工具--PE Tree.PE Tree是由BlackBerry 研究团队研发的使用pefile和PyQt5 来以树形查看PE ...
- BlackHat大会上,BlackBerry宣布开源逆向工具PE Tree
在8月3日举办的BlackHat大会上,BlackBerry宣布开源PE逆向工具--PE Tree.PE Tree是由BlackBerry 研究团队研发的使用pefile和PyQt5 来以树形查看PE ...
- Windows Pe 第三章 PE头文件(中)
这一章的上半部分大体介绍了下PE文件头,下半部分是详细介绍里面的内容,这一章一定要多读几遍,好好记记基础概念和知识,方便之后的学习. 简单回忆一下: 3.4 PE文件头部解析 3.4.1 DOS M ...
- Windows Pe 第三章 PE头文件(上)
第三章 PE头文件 本章是全书重点,所以要好好理解,概念比较多,但是非常重要. PE头文件记录了PE文件中所有的数据的组织方式,它类似于一本书的目录,通过目录我们可以快速定位到某个具体的章节:通过P ...
- 【PE结构】由浅入深PE基础学习-菜鸟手动查询导出表、相对虚拟地址(RVA)与文件偏移地址转换(FOA)...
0 前言 此篇文章想写如何通过工具手查导出表.PE文件代码编程过程中的原理.文笔不是很好,内容也是查阅了很多的资料后整合出来的.希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献.因为了解 ...
- PE知识复习之PE的两种状态
PE知识复习之PE的两种状态 一丶熟悉PE的整体结构 从下面依次网上看.可以得出PE结构 其中DOS头有DOS头结构 也就是 IMAGE_DOS_HEADER 关于结构体的各项属性.前边已经写过了.本 ...
- PE知识复习之PE的导出表
一丶简介 在说明PE导出表之前.我们要理解.一个PE可执行程序.是由一个文件组成的吗. 答案: 不是.是由很多PE文件组成.DLL也是PE文件.如果我们PE文件运行.那么就需要依赖DLL.系统DLL就 ...
- PE知识复习之PE的各种头属性解析
PE知识复习之PE的各种头属性解析 一丶DOS头结构体 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // M ...
- linux与pe到移动硬盘,将PE放入移动硬盘的简单方法几点疑问-已解决(转自深
将PE放入移动硬盘的简单方法&几点疑问-已解决(转自深度) 首先说明:以下3篇文章中受益匪浅,特此感谢!新手们请移步熟读. <安装PE到启动介质 绝版的讲解>作者:uepon &l ...
最新文章
- 二进制安装mysql集群_基于二进制安装Cloudera Manager集群
- php300云,概述 · PHP300Framework2.0 · 看云
- d3 mysql_javascript – 在d3可视化中访问MySQL数据库
- vs 2015 oracle,VS2015连接oracle11g出现异常
- Linux技术学习路线图
- java_security之base64原理解析以及三种代码的实现方式
- Java Unable to load library ‘gsdll64‘: 报错,解决方案
- 小米8android版本打开,怎么查看小米手机安卓系统版本
- bme280中文技术手册_华为认证数通高级路由交换技术高级工程师 V1.0发布通知
- Oracle bad magic 1,linux下Oracle的安装
- 甲骨文终获Java编程语言版权
- 面试记录-KPMG(毕马威)
- unity自动生成敌人_Unity3D 敌人AI 和 动画( Animator )系统的实例讲解
- 一、pytorch环境配置
- 开关造成的毛刺_令人困扰的DAC输出毛刺消灭记
- 每日一言 api 接口
- 单片机AC220V过零检测电路仿真及改进仿真
- 学习第1天:认识Linux系统和红帽认证
- 在线笔试神器~福利哟
- 选择性细化网络用于高性能人脸检测