FLOSS

Der FireEye Labs Obfuscated String Solver (FLOSS) ist ein Open-Source-Tool, das automatisch getarnte Strings in portierbaren ausführbaren Windows-Dateien (Portable Executables, PE) entdeckt, extrahiert und decodiert. Malware-Analysten, Forensiker und Incident-Response-Experten können FLOSS nutzen, um rasch verdächtige Strings zu extrahieren und so Gefahrenindikatoren zu finden.

Malware-Entwickler fügen codierte oder anderweitig getarnte Strings in ihre Programme ein, um deren schädliche Funktionen zu verschleiern und das Reverse-Engineering zu behindern. Schon einfache Verschleierungsmethoden hebeln das Strings-Tool aus und erschweren die statische und dynamische Analyse. FLOSS nutzt Emulatoren und andere moderne statische Analyseverfahren zur Identifizierung getarnter Strings.

Incident-Response-Experten und forensische Analysten, die wissen, wie Strings aus Binärdateien zu interpretieren sind, verstehen wie der Output von FLOSS ausgelegt wird. Die von FLOSS extrahierten Strings sind besonders nützlich, da getarnte Strings meist wichtige Informationen wie schädliche Domains, IP-Adressen, verdächtige Dateipfade und andere Gefahrenindikatoren enthalten, die dann zur Konfiguration von Sicherheitslösungen genutzt werden können.

Release-Hinweise

Aktuelle Version: FLOSS 1.5
Veröffentlicht am: 8. Mai 2017

FLOSS 1.5 bietet erstmalig Funktionen, mit denen sich fälschlicherweise als gefährlich eingestufte verschleierte Strings herausfiltern lassen. Außerdem beinhaltet FLOSS 1.5 verbesserte Heuristiken, Emulatoren und Funktionen zur Extrahierung von Stackstrings sowie zusätzliche API-Hooks.

  • Unterstützte Betriebssysteme: Windows, Linux, macOS

FLOSS herunterladen