Noriben - это скрипт на основе Python, который работает вместе с Sysinternals Procmon для автоматического сбора, анализа и составления отчетов об индикаторах времени выполнения вредоносных программ. Короче говоря, он позволяет запускать вредоносное ПО и получать простой текстовый отчет о действиях вредоносного ПО.
Для работы этого инструмента требуется только Sysinternals procmon.exe (или procmon64.exe). Noriben - идеальное решение для многих необычных экземпляров вредоносного ПО, например тех, которые не запускаются в стандартной среде песочницы. Эти файлы, возможно, требовали аргументов командной строки или имели обнаружение VMware / OS, которое необходимо было активно отлаживать, или чрезвычайно длинные циклы сна. Эти проблемы исчезнут с Noriben.
Просто запустите Noriben, а затем запустите свое вредоносное ПО так, чтобы оно работало. Если есть активная защита, запустите ее в OllyDbg / Immunity во время работы Noriben и обойдите любые проверки антианализа. Если его активность меняется в течение нескольких дней, просто запустите Noriben и вредоносное ПО на длинные выходные и обработайте результаты, когда вернетесь к работе.
Особенности:
Если у вас есть папка с файлами подписи YARA, вы можете указать ее с помощью параметра --yara. Каждый новый файл будет проверяться на соответствие этим сигнатурам, и результаты будут отображаться в результатах вывода.
Если у вас есть VirusTotal API, поместите его в файл с именем «virustotal.api» (или вставьте непосредственно в скрипт), чтобы автоматически отправлять хэши файлов MD5 в VT для получения количества вирусных результатов.
Вы можете добавить списки MD5 для автоматического игнорирования (например, все ваши системные файлы). Используйте md5deep и бросьте их в текстовый файл, используйте --hash, чтобы прочитать их.
Вы можете автоматизировать скрипт для использования в песочнице. Используя -t для автоматизации времени выполнения и --cmd «путь \ exe» для указания файла вредоносной программы, вы можете автоматически запускать вредоносное ПО, копировать результаты и затем вернуться к запуску нового образца.
Функция --generalize автоматически заменит абсолютные пути на пути среды Windows для лучшей разработки IOC.