Subparse:一款功能强大的模块化恶意软件分析与关联框架

2023-02-16 14:41:55 浏览数 (1)

关于Subparse

Subparse是一款由Josh Strochein、Aaron Baker和Odin Bernstein共同开发的模块化框架,该框架设计用于解析和索引恶意软件文件,并在可搜索的Web浏览器中显示解析过程中发现的信息。该框架是模块化的,利用了核心解析引擎、解析模块和各种为恶意软件索引添加附加信息的富集器。框架的主要输入值是恶意软件文件的目录,核心解析引擎或用户指定的解析引擎在从任何用户指定的富集引擎添加附加信息之前解析这些文件,所有这些都是在将解析的信息编入弹性搜索索引之前实现的。然后可以通过web浏览器搜索和查看收集的信息,该浏览器还允许对从任何文件收集的任何值进行过滤。

当前版本的subparse拥有三个解析引擎(ELFParser、OLEParser和PEParser)和四个富集模块(ABUSEEnricher、CAPEEEnricher,STRINGEnricher和YARAEnricher)

依赖组件

软件要求

在使用Subparse之前,还需要安装并配置一些其他的工具组件以确保Subparse的正常运行:

软件

状态

链接

Docker

必须

https://docs.docker.com/get-docker/

Python3.8.1

必须

https://www.python.org/downloads/release/python-381/

Pyenv

推荐

https://github.com/pyenv/pyenv

其他要求

安装好该工具所需的必要软件之后,我们还需要安装一些其他的依赖组件:

Python:

代码语言:javascript复制
sudo get apt install build-essential

pip3 install -r ./requirements.txt

Docker:

代码语言:javascript复制
docker-compose up

工具安装

首先,我们需要更新系统:

代码语言:javascript复制
sudo apt update && sudo apt upgrade -y

VIm安装:

代码语言:javascript复制
sudo apt install vim

Git安装:

代码语言:javascript复制
sudo apt install git

代码库克隆:

代码语言:javascript复制
git clone https://github.com/jstrosch/subparse.git
(向右滑动、查看更多)

NPM安装:

代码语言:javascript复制
sudo apt install npm

Python3 pip安装:

代码语言:javascript复制
sudo apt install python3-pip

Python3 TK安装:

代码语言:javascript复制
sudo apt install python3-tk

Docker安装:

代码语言:javascript复制
sudo apt install apt-transport-https ca-certificates curl software-properties-common -y

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -

sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu focal stable"
(向右滑动、查看更多)

再次更新系统:

代码语言:javascript复制
sudo apt update

安装Docker:

代码语言:javascript复制
sudo apt install docker-ce -y

Docker检测:

代码语言:javascript复制
sudo systemctl status docker

修改主机Systemctl文件:

代码语言:javascript复制
sudo vim /etc/sysctl.conf

然后在文件底部追加下列信息:

代码语言:javascript复制
vm.max_map_count=262144

按下:wq保存文件,然后重启系统,并安装Docker-Compose:

代码语言:javascript复制
sudo apt install docker-compose

安装Python依赖:

代码语言:javascript复制
python3.8 -m pip install -r requirements.txt

安装Vue依赖:

代码语言:javascript复制
npm install .

构建容器:

代码语言:javascript复制
docker-compose up -d --build

查看站点:

代码语言:javascript复制
http://localhost:8080

工具使用

参数选项

长命令

是否必须

描述

-h

--help

查看工具帮助菜单

-d SAMPLES_DIR

--directory SAMPLES_DIR

要解析的样本目录

-e ENRICHER_MODULES

--enrichers ENRICHER_MODULES

额外解析需要使用的富集模块

-r

--reset

重制/删除Elasticsearch集群中的所有数据

-v

--verbose

显示Verbose命令行输出

-s

--service-mode

进入服务模块,允许在处理过程中添加其他服务功能

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Subparse:https://github.com/jstrosch/subparse

0 人点赞