FileInsight-plugins は McAfee FileInsight バイナリエディタ用のプラグイン集です。
文書ファイル型のマルウェアからマルウェアの実行ファイルやおとり文書ファイルを抽出するするなど、マルウェア解析に関する様々なデコード作業に便利です。FileInsight-plugins によって追加される主な機能は以下のとおりです。
- XOR やビットローテートされた文字列、バイト列の検索
- XOR キーをインクリメント / デクリメントする XOR (いわゆる rolling XOR)
- カスタム BASE64 テーブルを使用したエンコード / デコード
- AES 等8つの暗号アルゴリズムでの暗号化と復号
- Gzip 等7つの圧縮アルゴリズムでの圧縮、展開
- ファイル内に埋め込まれた PE ファイルの抽出
- ASCII, UTF-16 文字列の抽出 (strings) と抽出した16進文字列の自動デコード
- YARA によるスキャンと YARA ルールにマッチした領域の色付け
- CyberChef、IDA、VSCode 等の他のツールでデータを開く
FileInsight-plugins は私がプライベートで開発しているツールであり、私がこれまでに所属した組織で職務上開発したものではありません。