如何使用DotNet-MetaData识别.NET恶意软件源码文件元数据

文章预览

关于 DotNet-MetaData DotNet-MetaData是一款针对.NET恶意软件的安全分析工具，该工具专为蓝队研究人员设计，可以帮助广大研究人员轻松识别.NET恶意软件二进制源代码文件中的元数据。 工具架构 当前版本的DotNet-MetaData主要由以下两个部分组成： 1、DotNetMetadata.yar：这是一个Yara规则文件，用于将源代码数据显示到终端； 2、DotNetMetadata.py：该脚本负责从.NET源代码文件中提取GUID、MVID、YTPELIB和程序集名称等信息； 工具下载 由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。 接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地： git clone https://github.com/bartblaze/DotNet-MetaData.git 工具使用 DotNetMetadata.yar DotNetMetadata.yar可以将目标.NET源代码文件的相关数据显示到终端，使用方法如下： yara64.exe DotNetMetadat ………………………………