BlackBerry анонсировали новые усилия в противодействии кибератакам на конференции Black Hat USA 2020. Новый инструмент компании с открытым исходным кодом PE Tree предназначен для значительного сокращения времени и усилий, необходимых для обратного проектирования вредоносных программ.
По данным компании, с помощью PE Tree реверсивные инженеры могут просматривать портативные исполняемые файлы (PE) в древовидном представлении с помощью pefile и PyQt5. Это снижает планку для сброса и восстановления вредоносных программ из памяти, обеспечивая при этом кодовую базу PE viewer с открытым исходным кодом, на которую сообщество может опираться, говорится в заявлении BlackBerry.
Инструмент интегрируется с декомпилятором HexRays IDA Pro для обеспечения удобной навигации по PE-структурам, а также сброса PE-файлов в память и выполнения восстановления импорта; это имеет решающее значение в борьбе с выявлением и остановкой различных штаммов вредоносных программ.
PE-файлы анализируются с помощью модуля pefile Ero Carrera перед отображением в древовидное представление. Там пользователи могут просматривать сводку заголовков, каталоги данных и многое другое.
Наконец, каждый регион можно щелкнуть, чтобы перейти к нему в древовидном представлении, или щелкнуть правой кнопкой мыши, чтобы сохранить в файл или экспортировать в CyberChef.
«По мере того как киберпреступники начинают свою игру, сообщество кибербезопасности нуждается в новых инструментах в своем арсенале для защиты и защиты организаций и людей, — сказал Эрик Милам, вице-президент по исследовательским операциям BlackBerry. — Мы создали это решение, чтобы помочь сообществу кибербезопасности в борьбе, где сейчас насчитывается более 1 миллиарда вредоносных программ, и это число продолжает ежегодно расти».
PE Tree разработан на Python и поддерживает операционные системы Windows, Linux и Mac. Он может быть установлен и запущен как автономное приложение или плагин IDAPython.
По материалам SD Times