Subparse:一款功能强大的模块化恶意软件分析与关联框架

2023-01-14
984

关于Subparse

Subparse是一款由Josh Strochein、Aaron Baker和Odin Bernstein共同开发的模块化框架,该框架设计用于解析和索引恶意软件文件,并在可搜索的Web浏览器中显示解析过程中发现的信息。该框架是模块化的,利用了核心解析引擎、解析模块和各种为恶意软件索引添加附加信息的富集器。框架的主要输入值是恶意软件文件的目录,核心解析引擎或用户指定的解析引擎在从任何用户指定的富集引擎添加附加信息之前解析这些文件,所有这些都是在将解析的信息编入弹性搜索索引之前实现的。然后可以通过web浏览器搜索和查看收集的信息,该浏览器还允许对从任何文件收集的任何值进行过滤。

当前版本的subparse拥有三个解析引擎(ELFParser、OLEParser和PEParser)和四个富集模块(ABUSEEnricher、CAPEEEnricher,STRINGEnricher和YARAEnricher)

依赖组件

软件要求

在使用Subparse之前,还需要安装并配置一些其他的工具组件以确保Subparse的正常运行:

软件

状态

链接

Docker

必须

安装指引

Python3.8.1

必须

安装指引

Pyenv

推荐

安装指引

其他要求 

安装好该工具所需的必要软件之后,我们还需要安装一些其他的依赖组件:

Python:

sudo get apt install build-essential

pip3 install -r ./requirements.txt

Docker:

docker-compose up

工具安装

首先,我们需要更新系统:

sudo apt update && sudo apt upgrade -y

VIm安装:

sudo apt install vim

Git安装:

sudo apt install git

代码库克隆:

git clone https://github.com/jstrosch/subparse.git

NPM安装:

sudo apt install npm

Python3 pip安装:

sudo apt install python3-pip

Python3 TK安装:

sudo apt install python3-tk

Docker安装:

sudo apt install apt-transport-https ca-certificates curl software-properties-common -y

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu focal stable"

再次更新系统:

sudo apt update

安装Docker:

sudo apt install docker-ce -y

Docker检测:

sudo systemctl status docker

修改主机Systemctl文件:

sudo vim /etc/sysctl.conf

然后在文件底部追加下列信息:

vm.max_map_count=262144

按下:wq保存文件,然后重启系统,并安装Docker-Compose:

sudo apt install docker-compose

安装Python依赖:

python3.8 -m pip install -r requirements.txt

安装Vue依赖:

npm install .

构建容器:

docker-compose up -d --build

查看站点:

http://localhost:8080

工具使用

参数选项

长命令

是否必须

描述

-h

--help

查看工具帮助菜单

-d SAMPLES_DIR

--directory SAMPLES_DIR

要解析的样本目录

-e ENRICHER_MODULES

--enrichers ENRICHER_MODULES

额外解析需要使用的富集模块

-r

--reset

重制/删除Elasticsearch集群中的所有数据

-v

--verbose

显示Verbose命令行输出

-s

--service-mode

进入服务模块,允许在处理过程中添加其他服务功能

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Subparse:【GitHub传送门

转载时必须以链接形式注明原始出处及本声明

扫描关注公众号