binary-triage

Umiejętność do wstępnej analizy plików binarnych, która automatycznie przeskanuje układ pamięci, ciągi znaków, importy i funkcje. Pozwala szybko zrozumieć, co robi dany program, i wyłapać podejrzane elementy przed głębszą analizą. Idealna do pierwszego przejrzenia nieznanego binaria lub gdy chcesz uzyskać przegląd przed szczegółowym reverse engineeringiem.

1. Załaduj program do analizy, używając get-current-program aby zobaczyć aktywny plik binarny, lub list-project-files aby wybrać z dostępnych programów w projekcie. Zanotuj ścieżkę programu (np. "/Hatchery.exe") — będzie ci potrzebna w kolejnych krokach.

2. Przeskanuj strukturę pamięci za pomocą get-memory-blocks, aby zrozumieć budowę binaria. Zwróć uwagę na sekcje .text (kod), .data (dane), .rodata (stałe i ciągi) oraz .bss (niezainicjalizowane dane). Szukaj anomalii: niezwykle dużych sekcji, zaszyfrowanych fragmentów, sekcji z kodem zapisywalnym lub danymi wykonywalnym.

3. Przeanalizuj ciągi znaków w pliku za pomocą get-strings-count aby zobaczyć całkowitą liczbę, a następnie get-strings z podziałem na strony (100–200 ciągów na raz). Szukaj wskaźników funkcjonalności lub złośliwego zachowania: adresów URL, adresów IP, ścieżek plików, kluczy rejestru, nazw funkcji API oraz słów kluczowych takich jak "admin", "password", "crypto", "encrypt", "download", "inject" czy "shellcode".

4. Sprawdź symbole i importy programu, aby zidentyfikować używane biblioteki i funkcje systemowe. To pomoże ci zrozumieć, z jakimi zasobami system się komunikuje.

5. Przejrzyj listę funkcji w binarium, aby wyłapać podejrzane lub interesujące procedury wymagające głębszej analizy.

6. Na podstawie zebranych informacji utwórz listę zadań do dalszego badania — zaznacz obszary wymagające szczegółowego reverse engineeringu.