2.1.2. Présentation du moteur Goasm
Ce moteur d'analyse permet la détection et l'analyse de shellcodes.
Il permet l'identification de certains encodages et permet de détailler les appels système effectués.
Ce moteur donne un score de la dangerosité potentielle et nomme le shellcode détecté.
Ces données sont affichées dans le rapport détaillé et plus précisément dans les sections TOP, Shellcode (voir le Rapport détaillé).
Taille maximum de fichier |
50 Mo |
Timeout d'analyse |
4-6 minutes |
Type |
rapide |
Goasm peut être considéré comme rapide pour des petits fichiers (< 5Mo).
En cas de gros fichiers texte (> 5 Mo), la détection prend du temps car il faut parcourir le binaire à la recherche de pattern de shellcodes.
Le timeout d'analyse interne à Goasm peut donc être atteint : 4 min.
Le timeout externe au moteur, lui, est fixé à 6 min.
En cas de timeout interne :
il y a un message d'erreur dans la partie
`Shellcode`du rapportle moteur arrête juste de parcourir octet par octet le fichier
En cas de timeout externe (erreur survenue ou Goasm bloqué), une erreur est présente dans le rapport mentionnant un timeout (dans ce cas, relancer l'analyse).
2.1.2.1. Visualisation de l'état courant de Goasm
La visualisation de l'état courant du moteur est donnée dans l'Ecran `Analysers` de la Web UI.
2.1.2.2. Mise à jour de Goasm
Le moteur est mis à jour à chaque nouvelle version de la GBox.
2.1.2.3. Configuration de Goasm
Le moteur n'est pas configurable.