+- N-PN White-Hat Project (https://dev.n-pn.fr/forum)
+-- Forum : Informatique (https://dev.n-pn.fr/forum/forumdisplay.php?fid=12)
+--- Forum : Centre de virologie (https://dev.n-pn.fr/forum/forumdisplay.php?fid=33)
+--- Sujet : RunPE Detector (/showthread.php?tid=3047)
RunPE Detector - 0pc0deFR - 03-06-2013
Peut-être que certains d'entre vous font du reverse de malware. Je vous présente donc un petit script en Python qui va checker si certaines API sont dans le binaire et à partir de ça en déduire s'il y a un RunPE et donc potentiellement un crypter utilisé. Il est possible qu'il chope du faux positif. Les hooks par DLL sont détectés comme un RunPE (c'est plausible puisque le procédé est très semblable).
Il est disponible à cette adresse: https://github.com/0pc0deFR/Bulk_Tools