пятница, 19 февраля 2010 г.

pyew - полезняшка на питоне для анализа вредоносного кода

pyew позиционирует себя, как инструмент для быстрого/экспресс анализа вредоносного кода, т.к. проведения для более глубокого анализа потребуется уже и отладчик и IDA. Автор pyew надеяться составить конкуренцию таким инструментам, как hiew, biew, radare прочим вьюверам. Для моих задач hiew конечно не переплюнуть, но программа в целом полезная.
Итак чего умеет:
- Поддерживает форматы: PE, ELF, PDF, OLE2
- Умеет дизассемблировать Intel 16/32/64 (используется distorm)
- К дизасму прикрпучена возможность определить базовые блоки по началу/концу функции и выстраивать перекрестные ссылки. Также умеет парсить импорты/экспорты
- Может находить в коде антиотладочные трюки, все трюки описаны в x86analyzer.py
- Может находить в коде трюки по обнаружению VM, все трюки описаны в vmdetect.py
- Может искать строки в файле заданные в Hexadecimal,String (ASCII and Unicode) или регулярным выражением
- Поддерживает возможность поиска Shellcode и URL
- Умеет автоматом слать запрос на VirusTotal и ThreatExpert

В общем дофига всего интересного умеет, лучше взять и посмотреть все самим.
http://code.google.com/p/pyew/