Absolutnie genialne narzędzie opublikowała firma Carbon Black. Binary Emulation Environment, w skrócie BinEE, potrafi przechwytywać najważniejsze zmiany dokonywane przez złośliwe oprogramowanie w systemie Windows. I co najlepsze, aplikację można zainstalować i używać pod Linuksem, Windows i macOS.

BinEE jest emulatorem, a nie sandbox’em czy środowiskiem rzeczywistym. Wadą tego rozwiązania jest brak możliwości wykonania dynamicznej analizy złośliwego oprogramowania w prawdziwym środowisku roboczym. Ale w końcu to „tylko” dobry emulator, prawda?

Do działania programu wymaga się przekopiowania bibliotek DLL z Windows z katalogu c:\windows\system32. Niektóre z bibliotek są chronione przed dostępem, dlatego najlepiej skopiować pliki z poziomu LiveUSB z dowolnej dystrybucji Linuksa.

BinEE jest genialne - pisaliśmy już to? ;-)
BinEE jest genialne — pisaliśmy już to? ;-)

Za pomocą narzędzia można uruchomić binarną próbkę i sprawdzić czy np. tworzy nowe złośliwe oprogramowanie albo z jakich funkcji WinAPI korzysta malware — CreateFileA, WriteFile, GetCurrentProcess, RegCloseKey itp.

BinEE z pewnością może pomóc osobom, które zajmują się analizą złośliwego kodu. Przy okazji i w tym kontekście warto przyjrzeć się rozszerzonym możliwościom najnowszego Sysmon 10.

Narzędzie, instrukcja instalacji i demo na filmiku, są dostępne na tej stronie.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz