Noriben – 基于Python的恶意软件分析沙箱
Noriben是一个基于python的脚本,与Sysinternals Procmon一起工作,可以自动收集,分析和报告恶意软件的运行时指示器。简而言之,它允许您运行恶意软件,并获取恶意软件活动的简单文本报告。
该工具只需要Sysinternals procmon.exe(或procmon64.exe)即可运行。Noriben是许多异常恶意软件实例的理想解决方案,例如那些不能从标准沙箱环境中运行的恶意软件实例。这些文件可能需要命令行参数,或者必须进行有效调试的VMware / OS检测或非常长的睡眠周期。这些问题与Noriben消失。
只需运行Noriben,然后运行恶意软件,使其运行。如果有主动保护,在Noriben 运行时在OllyDbg / Immunity内运行,并绕过任何反分析检查。如果它的活动在几天内发生变化,只需在长周末启动Noriben和恶意软件,并在重新开始工作时处理结果。
特征:
-
如果您有YARA签名文件的文件夹,您可以使用--yara 选项指定它。每个新文件都将根据这些签名进行扫描,结果显示在输出结果中。
-
如果您有VirusTotal API,请将其放入名为“ virustotal.api ” 的文件(或直接嵌入脚本中)以自动向VT提交MD5文件哈希以获得病毒结果的数量。
-
您可以添加MD5列表以自动忽略(例如所有系统文件)。使用md5deep并将它们放入文本文件中,使用--hash来读取它们。
-
您可以自动执行沙箱使用脚本。使用-t自动执行时间,使用--cmd “ path \ exe ”指定恶意软件文件,您可以自动运行恶意软件,将结果复制掉,然后恢复运行新样本。
-
- generalize功能将自动将绝对路径替换为Windows环境路径,以实现更好的IOC开发。
下载地址:https://github.com/Rurik/Noriben
仅供于学习研究使用,不得非法使用,如非法操作,责任自行承担
官方 