1
PyREbox
PyREbox de Cisco Talos est un environnement sandbox basé sur QEMU python conçu pour faciliter la rétro-ingénierie.Il peut être utilisé pour les chercheurs en sécurité pour les aider dans l'analyse des logiciels malveillants, ou pour les développeurs généraux avec le débogage de leurs applications.
PyREBox est un sandbox à ingénierie inverse scriptable Python.Il est basé sur QEMU et son objectif est de faciliter l'ingénierie inverse en fournissant des capacités d'analyse dynamique et de débogage dans une perspective différente.PyREBox permet d'inspecter une VM QEMU en cours d'exécution, de modifier sa mémoire ou ses registres, et d'instrumenter son exécution, en créant de simples scripts en python pour automatiser tout type d'analyse.QEMU (lorsqu'il fonctionne comme un émulateur de système complet) émule un système complet (CPU, mémoire, périphériques ...).En utilisant des techniques VMI, il ne nécessite aucune modification du système d'exploitation invité, car il récupère de manière transparente les informations de sa mémoire au moment de l'exécution ... Plusieurs projets académiques tels que DECAF, PANDA, S2E ou AVATAR, ontutilisait auparavant une instrumentation basée sur QEMU pour surmonter les tâches d'ingénierie inverse.Ces projets permettent d'écrire des plugins en C / C ++, et d'implémenter plusieurs fonctionnalités avancées telles que l'analyse dynamique des taches, l'exécution symbolique, ou même l'enregistrement et la relecture des traces d'exécution.Avec PyREBox, nous visons à appliquer cette technologie en se concentrant sur la simplicité de la conception et sur l'utilisabilité du système pour les analystes des menaces.