PEframe 5.0 – Le novità introdotte

Dopo tre mesi di test, dal 10 febbraio 2016 è finalmente disponibile la versione 5.0 di PEframe. Questa nuova versione, di cui il codice è stato quasi interamente riscritto, corregge un bug presente nella 4.2 (e precedenti) e implementa nuove funzionalità (vedi changelog) che consentono all’analista di scavare più in profondità ed ottenere maggiori dettagli tecnici dall’analisi statica del malware.

Nell’attesa di scrivere e rendere pubblica una documentazione completa, provo a sintetizzare i cambiamenti sostanziali apportati alla nuova versione.

A partire dalla 5.0 l’analisi è stata parzialmente estesa anche a malware di tipo ELF

L’output utente è rimasto pressocchè invariato rispetto alle precedenti versioni. È stata introdotta la sezione “Resources info”, migliorata la ricerca di nomi file e url, ed ora è possibile consultare integralmente le informazioni catturate da PEframe utilizzando l’opzione --json.

Tra le feature recentemente introdotte vale la pena citare la ricerca dei mutex objects e il detection rate di VirusTotal. Quest’ultima funzione, che necessita di una API Key configurabile manualmente attraverso il file stringsmatch.json, non carica il malware su VirusTotal ma verifica se l’hash del file è presente su VirusTotal e in caso affermativo restituisce il valore relativo all’ultima sottomissione.

Grazie al file di configurazione (stringsmatch.json) è possibile editare la sezione fuzzing per personalizzare le analisi attraverso il parsing delle stringhe.

Per una rapida analisi è consigliato lanciare peframe con il seguente comando:

peframe filename.exe

Per una visione completa dei dettagli tecnici, o per acquisire i dati completi attraverso sistemi automatici, è doveroso utilizzare la seguente sintassi:

peframe --json filename.exe

Per concludere…

Link: https://github.com/guelfoweb/peframe

2 thoughts on “PEframe 5.0 – Le novità introdotte

  1. Nanni Bassetti ha detto:

    Grande Gianni! come sempre sarà ospitato in Caine 😉

Comments are closed.