Dathalind/Analyze.bat

# 分析.bat 此批处理脚本允许您传递相对路径，如果您与样本在同一文件路径中，或者将完整文件路径传递给命令行参数。如果您在桌面上有文件，也可以将其拖放到批处理脚本上，它将启动运行工具对文件进行操作的实例。 该脚本将对文件运行以下4个工具： * Floss * Detect-It-Easy * Capa * pestats.py 每个工具都会在您运行此批处理脚本的路径中输出一个单独的json文件。 ## 设置与要求 ### 前置条件 在开始使用此脚本之前，需要安装和配置以下工具： **1. FLOSS** - 从 [mandiant/flare-floss](https://github.com/mandiant/flare-floss/releases) 下载 - 确保 `floss` 可在您的系统 `PATH` 中使用（以便可以从任何目录调用） **2. CAPA + CAPA 规则** - 从 [mandiant/capa](https://github.com/mandiant/capa/releases) 下载 `capa.exe` - 克隆规则仓库：`git clone https://github.com/mandiant/capa-rules.git C:\Tools\capa-rules` - 确保 `capa.exe` 在您的 `PATH` 中 **3. Detect It Easy (DIE)** - 从 [horsicq/Detect-It-Easy](https://github.com/horsicq/Detect-It-Easy/releases) 下载 - 将 `diec.exe` 放置在 `C:\Tools\die\diec.exe`（或更新脚本中的路径） **4. PEStats** - 下载 `pestats.py` 并放置在 `C:\Tools\pestats.py`（或更新脚本中的路径） - 需要 Python 3 和 `pefile`：`pip install pefile` - Pestats python 脚本可在本页面上找到：https://github.com/Dathalind/Analyze.bat/blob/main/pestats.py - 原始的 python 脚本可在此仓库中找到：https://github.com/as0ni/pestats - 感谢 https://github.com/as0ni 提供此脚本。 ### 配置 打开脚本并更新顶部的路径以匹配您的环境： ``` set "CAPA_RULES=C:\Tools\capa-rules" set "DIE_PATH=C:\Tools\die\diec.exe" set "PESTATS_PATH=C:\Tools\pestats.py" set "FLOSS_CMD=floss" ``` ### 使用方法 **拖放** 文件到 `.bat` 脚本，或从命令行运行它： ``` analyze.bat C:\Samples\suspicious.exe ``` 如果没有提供参数，脚本将提示您输入文件路径。 ### 输出 四个 JSON 文件将写入**与分析文件相同的目录**： | 文件 | 工具 | |---|---| | `_floss.json` | 字符串提取 | | `_capa.json` | 能力检测 | | `_die.json` | 文件类型 / 打包器检测 | | `_pestats.json` | PE 头部统计 |

标签：CAPA, Detect-It-Easy, FLOSS, LIDS, PEStats, PE文件, Python, URL发现, 反取证, 威胁情报, 安全工具集成, 安全检测, 安全测试, 安全评估, 开发者工具, 批处理脚本, 攻击性安全, 文件元数据, 文件分析, 无后门, 系统路径配置, 脚本分析, 脚本安全, 自动化分析, 跨站脚本, 逆向工具