Auteur Sujet: [Tuto]Installer PEscanner sous Kali Linux 1.0.5  (Lu 2455 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
[Tuto]Installer PEscanner sous Kali Linux 1.0.5
« le: 24 janvier 2016 à 12:03:44 »
== Description ==
 
pescanner.py est un analyseur PE écrit en python par les auteurs de Malware Analyst Cookbook. Il est disponible sur le DVD d'accompagnement fourni avec le livre, mais est également distribué librement sur Google Code.

Le script a la capacité de détecter:

     Fichiers avec entrées TLS
     Fichiers avec des ressources répertoires
     Entrées IAT suspectes
     Sections de point d'entrée suspectes
     Les articles avec des tailles brutes de longueur nulle
     Sections avec entropie extrêmement basses ou élevées
     horodatage invalides
     Informations sur la version du fichier

Entre autres choses, ce script est utile pour:

     comprendre le comportement d'un exécutable
     classification de malwares (UPX empaqueté, trojan downloader, trojan dropper, ...)
 
== Pré-requis ==

Les composant python suivant sont nécessaire pour installer PEscanner pefile, yara et ssdeep ainsi que clamav.

apt-get install python-pefile python-yara ssdeep clamav
== Installation ==

Téléchargez le script sur googlecode.

wget http://malwarecookbook.googlecode.com/svn/trunk/3/8/pescanner.py
== Configuration ==

Enfin éditer pescanner.py pour corriger le chemin de clamscan qui contient un x de trop pour je ne sais quelle raison.

vim pescanner.py
Vous devriez avoir quelque chose comme ceci.

# path to clamscan (optional)
clamscan_path = '/usr/bin/clamscan'

Et enfin déplacer le dans le path pour le lancer depuis son nom.

mv pescanner.py /usr/bin/pescanner
== Utilisation ==

Si vous ne l'avez pas encore déplacé dans le path, lancez le comme suit:

python pescanner.py
Et il vous affichera cet usage simple que n'importe qui pourra aisément comprendre.

Usage: python pescanner.py <file|directory>
Si vous avez déplacé et renommer pescanner, lancez le avec son nom tout simplement
 
pescanner <file|directory>
== Désinstallation ==

Il suffit de supprimer le script de pescanner
 
rm -rf /usr/bin/pescanner
Et si besoin de désinstaller les paquet prérequis.

apt-get purge python-pefile python-yara ssdeep clamav
== Voir aussi ==
 
  * **(en)** https://code.google.com/p/malwarecookbook/
  * **(fr)** http://www.aldeid.com/wiki/Pescanner