Detect It Easy:全能文件分析工具零基础入门指南
项目地址: https://gitcode.com/gh_mirrors/de/Detect-It-Easy Detect It Easy(简称DIE)是一款跨平台的全能文件分析工具,专为文件类型识别、打包方式检测和熵扫描等任务设计。无论是恶意软件分析、数字取证还是日常文件鉴定,DIE都能提供精准高效的解决方案,支持Windows、Linux和MacOS三大操作系统。
功能特性解析
多维度文件识别系统 🛠️
DIE采用"签名+启发式"双重检测机制,既能通过精确的签名匹配识别已知文件类型,又能通过行为特征分析未知格式。核心检测能力体现在:
- 广谱格式支持:覆盖PE(Windows可执行文件)、ELF(Linux可执行文件)、APK(安卓应用)、IPA(iOS应用)、JAR(Java归档)等40+种文件类型
- 深度特征提取:不仅识别文件格式,还能分析内部结构如节区信息、导入表、资源特征等
- 智能熵值分析:通过文件熵值计算判断是否经过加密或压缩,辅助检测恶意样本
DIE图形界面展示PE文件详细分析结果,包含文件头信息、节区分布和检测签名
灵活的检测架构 🔧
DIE的核心优势在于其可扩展的检测系统:
- 模块化签名库:签名文件采用
.sg格式存储,按平台和文件类型分类存放于db/目录(如db/PE/存放Windows可执行文件签名) - 脚本化检测逻辑:支持JavaScript-like语法编写自定义检测规则,通过
Binary.compare()等API实现复杂匹配 - YARA规则集成:内置
yara_rules/目录支持YARA签名,可扩展恶意软件检测能力
多版本部署方案 🚀
针对不同使用场景提供三种运行模式:
- 图形界面版(die):完整功能的GUI工具,适合交互式分析
- 命令行版(diec):无界面模式,支持批量处理和自动化脚本集成
- 轻量图形版(diel):精简版GUI,专注快速扫描功能
快速上手指南
环境准备与安装
直接安装(推荐)
Linux系统可通过包管理器直接安装:
- Parrot OS:
sudo apt install detect-it-easy - Arch Linux:AUR安装
detect-it-easy-git包 - 其他系统:可从官方发布页下载AppImage格式的便携版本
源码构建
对于需要自定义功能的用户,可从源码构建:
- 克隆仓库:
git clone --recursive https://gitcode.com/gh_mirrors/de/Detect-It-Easy.git
cd Detect-It-Easy
- 安装依赖(以Debian系为例):
sudo apt-get install qtbase5-dev qtscript5-dev qttools5-dev-tools libqt5svg5-dev build-essential
- 编译安装:
mkdir -p build && cd build
cmake ..
make -j4
sudo make install
基础操作流程
图形界面快速启动
- 命令行输入
die启动图形界面 - 通过菜单栏
File > Open选择目标文件 - 分析结果将显示在多标签面板中,包括:
- 基本信息:文件类型、大小、哈希值
- 详细视图:按文件格式组织的结构化数据
- 签名匹配:触发的检测规则和置信度
命令行模式使用
控制台版本(diec)适合批量处理:
# 基本用法
diec /path/to/targetfile.exe
# 输出JSON格式结果(便于自动化处理)
diec --json sample.bin > result.json
# 批量扫描目录
find ./samples -type f -exec diec {} \;
diec命令行输出示例,展示ELF文件的检测结果和详细信息
个性化配置与高级应用
签名系统定制
DIE允许用户扩展和定制检测签名,实现个性化分析需求:
自定义签名文件
- 在
db_custom/目录创建签名文件(参考db_custom/example.0.sg格式) - 签名文件格式示例:
// 检测特定加壳程序
4D5A??0000000000000000504500004C010100 -> "MyCustomPacker v1.0"
- 重启DIE后自动加载自定义签名
YARA规则扩展
- 将自定义YARA规则文件放入
yara_rules/目录 - 规则示例(检测特定字符串模式):
rule SuspiciousString {
strings:
$ = "This program cannot be run in DOS mode"
$ = "UPX0"
condition:
all of them
}
实用参数配置
通过命令行参数优化分析效果:
- 指定签名路径:
die --sigpath /custom/signatures使用外部签名库 - 深度扫描模式:
diec --deep sample.exe启用深度分析,耗时更长但更精准 - 静默模式:
diec --quiet file.bin仅输出关键结果,减少冗余信息
进阶技巧
集成自动化工作流
结合脚本实现批量分析 pipeline:
#!/bin/bash
# 批量分析目录下所有PE文件并生成报告
for file in $(find ./malware -name "*.exe"); do
diec --json "$file" >> analysis_report.json
done
高级签名编写
利用DIE脚本API实现复杂检测逻辑(示例取自help/Binary.js):
// 检测JPEG文件
if (Binary.compare("FFD8FFE?")) {
sName = "JPEG image";
// 提取图像尺寸
var width = Binary.read_uint16(18);
var height = Binary.read_uint16(20);
sOptions = width + "x" + height;
}
常见问题解决
签名更新方法
保持签名库最新可提高检测准确性:
- 手动更新:定期拉取官方仓库的
db/目录更新 - 自动更新:运行
autotools/dbupdater/task.py脚本自动同步最新签名
性能优化建议
处理大型文件时可采用:
- 使用命令行版进行后台分析
- 禁用非必要检测模块(通过
Settings > Modules配置) - 对超大文件使用
--partial参数进行部分扫描
扩展功能开发
如需添加新文件类型支持:
- 在
db/目录下创建对应类型的子目录(如db/NewFormat/) - 编写
.sg签名文件和JavaScript检测脚本 - 更新
db/_init文件注册新类型
总结
Detect It Easy凭借其灵活的架构设计和强大的检测能力,成为文件分析领域的多功能工具。无论是安全研究员、逆向工程师还是普通用户,都能通过本工具快速获取文件的深层信息。通过自定义签名和脚本扩展,DIE可适应不断变化的文件格式和检测需求,是数字取证和恶意软件分析的必备工具。
官方文档:docs/RUN.md
签名开发指南:help/Signatures.md
API参考:help/Global.md
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
