(黃獻德) Hsien-De Huang | E-Mail:TonTon (at) TWMAN.ORG | TonTon (痛痛)
Malware Analysis Network in Taiwan (MiT) | 惡意程式分析網在台灣 (抬丸郎)
Deep Learning (深度學習), Malware Analysis (惡意程式分析), Ontology (知識本體)
Android Reverse Engineering (Android 逆向工程), Type-2 Fuzzy Logic (第二型模糊邏輯)

ONE PIECE (海賊王)

ONE PIECE (海賊王)

2013年8月25日

用 file-5.14 判斷檔案類型來決定下一步惡意程式行為分析

分層區間二型模糊知識本體模型之異質惡意程式行為分析架構 
A Hierarchical IT2FO Model for Heterogeneous Malware Behavior Analysis Architecture
這次是要來補充接著要如何解決可以分析各種檔案的辦法
過去的舊版本都只能夠針對 EXE 檔來分析搜集其行為,但是現在已經有很多很奇怪的檔案都可以是惡意程式,所以怎樣在第一時間判斷是啥檔案以及要用什麼軟體來開啟就顯得有點重要了 !

https://github.com/glensc/file

This is Release 5.x of Ian Darwin's (copyright but distributable) file(1) command, an implementation of the Unix File(1) command. It knows the 'magic number' of several thousands of file types. This version is the standard "file" command for Linux, *BSD, and other systems. (See "patchlevel.h" for the exact release number).

這是在 Linux 上的一個小套件,一整個就是很方便


安裝過程是非常的簡單


就一般的 ./configure 再 make 以及 make install


裝好後,一定要先看一下 --help 啦


大概看懂後,就是寫個小程式,驗證一下想法


嗯 ! 不錯 ! 看起來判斷的還挺準確的 ... 算是大概解決了判斷檔案來藉由某些軟體開啟啦 !

目前就是先考量可以分析 WORD、EXCEL、PPT?、EXE、PDF、RAR 跟 ZIP

其中 RAR 跟 ZIP 可能要再思考一下怎樣解壓縮後再判斷一次再做決定 ???


最後倒是意外還發現了也有 Python 的版本,好像也可以try try看 ! xDDDDD