Cuckoo SandboxMalwasm предназначен для помощи при реверс — инжиниринге. Базируется он на двух других очень крутых проектах: Cuckoo Sandbox (www. cuckoosandbox.org) и PIN (intel.lv/XH5F8q). Алгоритм работы следующий:

1. Вредоносное ПО для анализа запускается в песочнице Cuckoo Sandbox.

2. Во время выполнения все действия программы логируются с помощью pintool.

3. Все действия и изменения в системе сохраняются в базу данных (Postgres).

4. Визуализировать данные из БД для удобного анализа и управлять ими можно через веб — интерфейс.

Кратко приведу некоторые из основных фишек Malwasm:

•офлайн — отладка программы;

•возможность перемещаться во времени в процессе отладки (буквально, с помощью специального слайдера);

•отображение состояния регистров и флагов;

•отображение stack/heap/data;

•опция «Following dump»;

•работа полностью в браузере.

Для работы с программой достаточно двух команд и входа в веб — интерфейс:

1. utils/submit.py malware/bad.exe.

2. web/malwasm_web.py.

3. Заходим на http://127.0.0.1:5000.

При желании уже сейчас можно посмотреть на веб — интерфейс проекта и его возможности по адресу malwasm.com.