stringsifter
StringSifter 是一款专为恶意软件分析打造的机器学习工具,旨在帮助安全专家从海量字符串数据中快速锁定关键线索。在进行逆向工程时,传统工具提取的字符串往往成千上万且杂乱无章,分析师很难从中迅速分辨出哪些具有实际调查价值。StringSifter 通过智能算法自动对这些字符串进行相关性排序,将最可疑、最重要的内容置顶,从而大幅缩短人工筛选时间,提升分析效率。
这款工具特别适合网络安全研究人员、恶意软件分析师以及数字取证专家使用。无论是处理静态二进制文件、内存转储,还是结合 FLOSS 等去混淆工具的输出,StringSifter 都能灵活适配。其独特之处在于采用了“学习排序”(Learning to Rank)技术,能够理解上下文语境而非简单的关键词匹配,确保排序结果更贴合实战需求。此外,它提供了命令行接口和 Docker 支持,易于集成到现有的自动化分析流程中。对于希望从繁杂数据中高效提炼情报的专业人士而言,StringSifter 是一个实用且强大的助手。
使用场景
某安全分析师在紧急响应一起勒索软件攻击时,需要从被感染的二进制文件中快速提取关键线索以确定攻击者意图。
没有 stringsifter 时
- 面对
strings命令输出的成千上万条杂乱字符串,分析师难以区分哪些是真正的恶意载荷特征,哪些只是无关的系统路径或乱码。 - 人工逐行筛选耗时极长,在争分夺秒的应急响应中,极易因疲劳而漏掉隐藏在深处的关键 C2 域名或解密密钥。
- 缺乏统一的评分标准,不同经验水平的分析师对字符串重要性的判断差异巨大,导致分析结果不稳定且难以复用。
- 大量无效信息干扰视线,使得编写自动化检测规则(如 YARA 规则)时噪音过高,误报率难以控制。
使用 stringsifter 后
- stringsifter 利用机器学习模型自动将所有字符串按恶意相关性排序,将最可疑的 API 调用、URL 和加密常量直接置顶展示。
- 分析师只需查看排名前几十位的字符串即可锁定核心行为,将原本数小时的人工筛选工作压缩至几分钟内完成。
- 输出结果附带量化评分,为团队提供了客观的判断依据,确保无论谁执行分析,都能优先关注高价值线索。
- 通过
--limit参数精准提取顶部高分字符串,直接生成高质量的指标数据(IOCs),大幅提升了后续威胁情报生产的效率。
stringsifter 通过将海量无序字符转化为有序的情报线索,彻底改变了恶意软件分析中“大海捞针”的低效现状。
运行环境要求
- Linux
- macOS
- Windows
未说明
未说明
快速开始
StringSifter 是一款机器学习工具,能够根据字符串与恶意软件分析的相关性自动对其进行排序。
快速链接
- 技术博客文章 - 通过学习对字符串输出进行排序以加速恶意软件分析
- 公告博客文章 - 开源 StringSifter
- DerbyCon 演讲 - StringSifter:通过学习对字符串输出进行排序以加速恶意软件分析
- StringSifter 在 PyPI 上的发布
使用方法
StringSifter 需要 Python 3.9 或更高版本。运行以下命令即可获取代码、执行单元测试并使用该工具:
安装
pip install stringsifter
若需开发,请使用 poetry:
git clone https://github.com/mandiant/stringsifter.git
cd stringsifter
poetry install --with dev
运行单元测试
在 StringSifter 的安装目录下运行单元测试:
poetry run tests -v
命令行运行
通过 pip install 命令会将两个可执行脚本 flarestrings 和 rank_strings 安装到您的 Python 环境中。从源码开发时,请使用 pipenv run flarestrings 和 pipenv run rank_strings。
flarestrings 模仿了 GNU binutils 中 strings 工具的功能,而 rank_strings 则支持管道输入,例如:
flarestrings <my_sample> | rank_strings
rank_strings 支持多个命令行参数。其中位置参数 input_strings 用于指定待排序的字符串文件。可选参数如下:
| 选项 | 含义 |
|---|---|
| --scores (-s) | 在输出中包含排序分数 |
| --limit (-l) | 将输出限制为排名前 limit 的字符串 |
| --min-score (-m) | 仅输出分数大于等于 min-score 的字符串 |
| --batch (-b) | 指定一个包含多个 strings 输出文件的文件夹,以进行批量处理 |
排序后的字符串会输出到标准输出,除非指定了 --batch 选项,此时排序结果将被写入名为 <input_file>.ranked_strings 的文件中。
flarestrings 支持 -n(或 --min-len)选项,用于打印长度至少为 min-len 的字符序列,而非默认的 4 个字符。例如:
flarestrings -n 8 <my_sample> | rank_strings
将仅打印并排序长度为 8 个字符或更长的字符串。
通过 Docker 容器运行
- 克隆仓库后,构建容器镜像。在项目根目录下执行:
docker build -t stringsifter -f docker/Dockerfile .
- 运行容器并传入
flarestrings或rank_strings参数以使用相应命令。容器内的命令可以用于管道操作:
cat <my_sample> | docker run -i stringsifter flarestrings | docker run -i stringsifter rank_strings
- 或者不传入任何参数直接运行容器以进入 Shell 提示符,并使用
-v标志将主机目录挂载到容器中:
docker run -v <my_malware>:/samples -it stringsifter
其中 <my_malware> 包含待分析的样本,例如:
docker run -v $HOME/malware/binaries:/samples -it stringsifter
- 在容器提示符下:
flarestrings /samples/<my_sample> | rank_strings <options>
容器化脚本支持所有 命令行参数。
处理 FLOSS 输出
StringSifter 可应用于任意字符串列表,因此对于希望从其他情报来源(如实时内存转储、沙箱运行结果或包含混淆字符串的二进制文件)中提取信息的安全从业者来说非常有用。例如,FireEye Labs Obfuscated Strings Solver (FLOSS) 与 Strings 工具一样会提取可打印的字符串,但还会揭示经过编码、打包或手动构造在栈上的混淆字符串。它可以作为 Strings 工具的替代品直接使用,因此也可以用 StringSifter 对 FLOSS 的输出进行类似处理,命令如下:
$PY2_VENV/bin/floss –q <options> <my_sample> | rank_strings <options>
注意事项:
–q参数会抑制标题和格式,仅显示提取的字符串。有关 FLOSS 其他选项的更多信息,请参阅其 使用文档。- FLOSS 需要 Python 2,而 StringSifter 需要 Python 3。在上述示例中,
floss或rank_strings至少需要包含一个指向 Python 虚拟环境的相对路径。 - FLOSS 也可以作为 独立可执行文件 下载。在这种情况下,无需指定 Python 环境,因为该可执行文件并不依赖于 Python 解释器。
关于运行 strings 的说明
本发行版包含 flarestrings 程序,以确保跨平台输出的一致性。如果您选择运行系统自带的 strings 工具,请注意其选项在不同版本和平台上并不一致:
Linux
大多数 Linux 发行版都包含来自 GNU Binutils 的 strings 程序。为了提取“宽”和“窄”字符串,必须分别运行两次,并将输出重定向到文件中:
strings <my_sample> > strs.txt # 窄字符串
strings -el <my_sample> >> strs.txt # 宽字符串。注意是追加重定向 ">>"
MacOS
部分随 macOS 一起提供的 BSD 版本的 strings 不支持宽字符。此外,请注意,默认配置下可能禁用了扫描整个文件的 -a 选项。如果没有启用 -a,可能会丢失一些有价值的信息。建议通过 Homebrew 或 MacPorts 安装 GNU Binutils,以获得支持宽字符的 strings 版本。请务必调用正确的 strings 版本。
Windows
Windows 系统默认未安装 strings 工具。我们建议安装 Windows Sysinternals、Cygwin 或 Malcode Analyst Pack 来获取可用的 strings 工具。
讨论
此版本的 StringSifter 是基于与首个 EMBER 数据集相关的恶意软件样本生成的 Strings 输出训练而成的。序数标签通过弱监督方法生成,监督学习则由 Gradient Boosted Decision Trees 使用排序学习目标函数完成。更多技术细节请参阅 快速链接。请注意,目前尚未提供标注数据或训练代码,但我们可能会在未来的版本中重新考虑这一做法。
问题
我们使用 GitHub Issues 来提交 bug 和功能请求。
致谢
- 感谢 FireEye 数据科学团队 (FDS) 和 FireEye 实验室逆向工程团队 (FLARE) 的审阅与反馈。
- StringSifter 由 Philip Tully (FDS)、Matthew Haigh (FLARE)、Jay Gibble (FLARE) 和 Michael Sikorski (FLARE) 共同设计并开发。
- StringSifter 的标志由 Josh Langner (FLARE) 设计。
flarestrings是基于优秀的工具 FLOSS 开发的。
版本历史
v3.20230711v2.20201202v1.20201201v0.20191202常见问题
相似工具推荐
stable-diffusion-webui
stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。 无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。
everything-claude-code
everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上
ComfyUI
ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。 这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。 无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。
NextChat
NextChat 是一款轻量且极速的 AI 助手,旨在为用户提供流畅、跨平台的大模型交互体验。它完美解决了用户在多设备间切换时难以保持对话连续性,以及面对众多 AI 模型不知如何统一管理的痛点。无论是日常办公、学习辅助还是创意激发,NextChat 都能让用户随时随地通过网页、iOS、Android、Windows、MacOS 或 Linux 端无缝接入智能服务。 这款工具非常适合普通用户、学生、职场人士以及需要私有化部署的企业团队使用。对于开发者而言,它也提供了便捷的自托管方案,支持一键部署到 Vercel 或 Zeabur 等平台。 NextChat 的核心亮点在于其广泛的模型兼容性,原生支持 Claude、DeepSeek、GPT-4 及 Gemini Pro 等主流大模型,让用户在一个界面即可自由切换不同 AI 能力。此外,它还率先支持 MCP(Model Context Protocol)协议,增强了上下文处理能力。针对企业用户,NextChat 提供专业版解决方案,具备品牌定制、细粒度权限控制、内部知识库整合及安全审计等功能,满足公司对数据隐私和个性化管理的高标准要求。
ML-For-Beginners
ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。
ragflow
RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。