ابزار gocheck: شناسایی دقیق بایت‌های مخرب در فایل‌های اجرایی

gocheck یک ابزار متن‌باز است که به زبان Go توسعه یافته و نسخه‌ای بازنویسی‌شده از ابزار معروف DefenderCheck محسوب می‌شود. این ابزار به تیم‌های قرمز و توسعه‌دهندگان بدافزار امکان می‌دهد تا بایت‌های مشخصی را که توسط راه‌حل‌های امنیتی شناسایی می‌شوند، در فایل‌های اجرایی خود شناسایی کنند.

ویژگی‌های کلیدی gocheck

• شناسایی دقیق بایت‌های مخرب: gocheck فایل‌های اجرایی را به بخش‌های کوچکتر تقسیم کرده و هر بخش را به‌صورت جداگانه اسکن می‌کند تا بایت‌هایی که باعث شناسایی توسط آنتی‌ویروس می‌شوند، مشخص شوند.

• سرعت بالا در تحلیل: در مقایسه با ابزارهای مشابه مانند DefenderCheck، gocheck عملکرد سریع‌تری دارد. به‌عنوان مثال، تحلیل فایل mimikatz.exe با gocheck تنها ۱.۰۵ ثانیه طول می‌کشد، در حالی که با DefenderCheck این زمان ۵.۵۶ ثانیه است.

نصب و استفاده آسان: می‌توان gocheck را از طریق دستور go install نصب کرد یا از نسخه‌های پیش‌کامپایل‌شده موجود در مخزن GitHub استفاده نمود.

نصب و راه‌اندازی

برای نصب gocheck، مراحل زیر را دنبال کنید:

• نصب از طریق go install:

go install github.com/gatariee/gocheck@latest

• یا کلون کردن مخزن و ساخت دستی

git clone https://github.com/gatariee/gocheck
cd gocheck
make windows

نمونه استفاده

برای تحلیل یک فایل اجرایی و شناسایی بایت‌های مخرب:

 
gocheck -f path/to/your/file.exe

این دستور فایل مشخص‌شده را به بخش‌های کوچکتر تقسیم کرده و هر بخش را با استفاده از ابزارهای اسکن مانند Windows Defender بررسی می‌کند تا بخش‌هایی که باعث شناسایی می‌شوند، مشخص شوند.

gocheck ابزاری قدرتمند برای شناسایی بایت‌های مخرب در فایل‌های اجرایی است که به تیم‌های قرمز و توسعه‌دهندگان بدافزار کمک می‌کند تا فایل‌های خود را به‌گونه‌ای تنظیم کنند که از شناسایی توسط آنتی‌ویروس‌ها جلوگیری شود. با استفاده مسئولانه و آگاهانه از این ابزار، می‌توان به بهبود وضعیت امنیتی سیستم‌ها کمک کرد.