Segugio：一款针对恶意软件的进程执行跟踪与安全分析工具

文章预览

关于Segugio Segugio是一款功能强大的恶意软件安全分析工具，该工具允许我们轻松分析恶意软件执行的关键步骤，并对其进行跟踪分析和安全审计。 Segugio允许执行和跟踪恶意软件感染过程中的关键步骤，其中包括从点击第一阶段到提取恶意软件的最终阶段配置。Segugio的创建是为了满足在分析环境中加快从恶意工件中提取 IoC 的需求。 恶意软件分析通常涉及静态和动态分析等耗时活动，这需要丰富的逆向工程和代码分析知识。而Segugio是完全自动化的，旨在简化从事网络事件响应 (DFIR) 的安全分析师和专家的工作，使他们能够快速识别恶意工件，而无需执行复杂的静态和动态分析，而是专注于行为分析。 工具机制 通过与airbus-cert的 yara.dll 库的集成，可以使用 YARA 规则在进程的私有内存中搜索与已知恶意软件家族相关的指标。该功能可归纳为三个关键 ………………………………