BLISTER 配置提取器

用于从 BLISTER 样本中提取配置和有效负载的 Python 脚本。

入门指南

此工具提供一个 Python 模块和命令行工具，用于从 BLISTER 恶意软件加载器提取配置并将结果转储到屏幕。

有关 BLISTER 恶意软件加载器和活动观察的信息，请查看我们详细介绍此内容的博客文章

BLISTER 活动分析

BLISTER 恶意软件分析

我们可以使用 Docker 轻松运行提取器，首先我们需要构建映像

docker build . -t blister-config-extractor

然后，我们使用 -v 标志运行容器，将主机目录映射到 docker 容器目录

docker run -ti --rm -v \
"$(pwd)/binaries":/binaries blister-config-extractor:latest -d /binaries/

我们可以使用 -f 选项指定单个样本，或使用 -d 指定样本目录。

如上所述，Docker 是运行此项目的推荐方法，但您也可以在本地运行。此项目使用 Poetry 来管理依赖项、测试和元数据。如果您已经安装了 Poetry，则从此目录中，您可以简单地运行以下命令来运行该工具。这将设置虚拟环境、安装依赖项、激活虚拟环境并运行控制台脚本。

poetry lock
poetry install
poetry shell
blister-config-extractor -h

一旦完成此操作，您就可以执行与上述 Docker 说明中提到的类似的操作。