PEFrame l’utility scritta da Gianni Amato in grado di effettuare una analisi statica di un Malware, si aggiorna alla versione 0.4 nella quale viene introdotta la funzione di ricerca all’interno di un malware delle firme che gli consentono di distinguere l’ambiente fisico da quello virtuale, dove solitamente vengono sottoposti per le analisi comportamentali.
Alcuni malware, infatti, quando si trovano in un ambiente virtuale appaiono del tutto innocui agli occhi dell’analista. Diversamente, quando vengono eseguiti su una macchina fisica tirano fuori la vera natura. Un po’ come accade con i malware che utilizzano tecniche di anti debug.
Grazie alle signature di Joxean Kore introdotte in peframe possiamo conoscere già dall’analisi statica l’ambiente virtuale in cui – eventualmente – il malware si rifiuta di lavorare.
Di seguito vi riportiamo tutte le funzioni di PEFrame:
- Auto Analysis
- Hash MD5 & SHA1
- PE file attributes
- Version info & metadata
- PE Identifier Signature
- Anti Virtual Machine
- Anti Debug
- Section analyzer
- Imported DLLs & API functions
- Search for suspicious API (Anti Debug) & sections
- Dumping all the information
- Extract all the string
- Extract all the url
- Reverse Hex dump
- List Entry instances
Potete scaricare PEFrame attraverso Google Code oppure è già disponibile all’interno della distribuzione CAINE per la Digital Forensics.