FLOSS

FireEye Labs Obfuscated String Solver (FLOSS) est un outil open source qui détecte, extrait et décode automatiquement des chaînes obfusquées dans des fichiers Windows Portable Executable (PE). FLOSS permet aux professionnels de l’analyse antimalware, de l’analyse forensique et des interventions sur incident d'extraire rapidement des chaînes sensibles pour identifier les indicateurs de compromission.

Les auteurs de malwares encodent des chaînes dans leurs programmes pour y camoufler des fonctionnalités malveillantes et empêcher toute opération de rétro-ingénierie. Un codage, même simple, pose problème aux outils de désassemblage des chaînes, en plus de compliquer les analyses statiques et dynamiques. FLOSS s'appuie sur des techniques d'analyse statique et dynamique comme l'émulation pour désobfusquer les chaînes encodées.

Les analystes forensiques et intervenants sur incident capables d'interpréter les chaînes d’un fichier binaire comprendront sans peine les données produites par l'outil FLOSS. Les chaînes obfusquées contenant généralement les ressources de configuration les plus sensibles (adresses IP, domaines malveillants, chemins d'accès aux fichiers suspects, etc.), FLOSS extrait les chaînes les plus importantes.

Notes de version

Version actuelle : FLOSS 1.5
Date de sortie : 8 mai 2017

FLOSS 1.5, c'est une augmentation du nombre de hooks API, un filtrage des chaînes de désobfuscation de faux positifs et une amélioration de l'analyse heuristique, de l'extraction des chaînes et de la couverture des émulations.

  • Systèmes d'exploitation pris en charge : Windows, Linux, macOS

Télécharger FLOSS