什么是Garlic

Garlic是一个畸形样本自动生成工具。

你可以给garlic

一些样本,

一个处理样本的程序,

一个改程序的函数,

一个控制命令,

然后,你就可以喝着白开水,看着garlic去对样本进行分析。

最终,garlic会杂交出很多新的样本。

除此之外,garlic还可以分析程序执行的路径情况。

还可以对大量样本做精简匹配。

或者还可以挖漏洞。

其实还可以做很多事情。

等待你的挖掘

Garlic还有很漫长的路程要走,现在是demo版,演示版本。

接下来以一个例子来演示。

 

 

我们选取的程序是7zip   7ip -t 压缩包路径  这个指令用来测试文档的完整性。

下面针对这个指令来做一个测试。

需要准备的东西有:

第一:7z控制台主程序,我这里是16.04版本。

 

第二:1个标准样本,我这里为1.zip

第三:1批样本,我这里做了4个样本。

 

 

 

 

第四 要测试的函数。给函数第一条指令即可,我这里给的是0042fa8f

最终的命令如下

 

点击确定 就开始运行了 首先是静态分析,接着就是动态分析了。静态分析日志如下:

 

 

 

分析出样本特征后,就开始动态分析了。

下面是动态分析日志 显示执行跳转和函数块的相关信息。

 

 

 

测试了一段时间,杂交出3zip文件。

是有点少,bug挺多,未来版本会优化改善。

 

 

软件下载地址:www.asm64.com/Garlic/Garlic.zip

样本下载地址:www.asm64.com/Garlic/Sample/Zipsample.zip

 

早期文档:

www.asm64.com/Garlic/20day.html

www.asm64.com/Garlic/42day.html