Tutoriales

Herramienta todo en uno para el análisis de malware estático

Qu1cksc0pe Puede utilizar esta herramienta para analizar estáticamente archivos ejecutables de Windows, Linux, OSX y archivos APK.

Puedes obtener:

  • Qué archivos DLL se utilizan.
  • Funciones y API.
  • Secciones y Segmentos.
  • URL, direcciones IP y correos electrónicos.
  • Permisos de Android.
  • Extensiones de archivo y sus nombres.
    Etcétera…

Qu1cksc0pe tiene como objetivo obtener aún más información sobre archivos sospechosos y ayuda al usuario a ver de qué es capaz ese archivo.

propósito de uso

python3 qu1cksc0pe.py –file suspicious_file –analyze

Captura de pantalla

Actualizar

09/10/2021

  • Adicional AndroidRuntime Módulo. ¡Ahora puede analizar dinámicamente las aplicaciones de Android!

Disponible en

Nota

  • También puede utilizar Qu1cksc0pe desde Windows Subsystem Linux bajo Windows10.

Hospedarse

Módulos de Python necesarios:

  • puremagic => Analiza el sistema operativo de destino y los números mágicos.
  • androguard => Analizar archivos APK.
  • apkid => Busque Ofuscators, Anti-Disassembly, Anti-VM y Anti-Debug.
  • prettytable => Buenas salidas.
  • tqdm => Animación de la barra de progreso.
  • colorama => Salidas coloreadas.
  • oletools => Analizar macros de VBA.
  • pefile => Recopile toda la información de los archivos PE.
  • quark-engine => Extracción de direcciones IP y URL de archivos APK.
  • pyaxmlparser => Recopilación de información de archivos APK de destino.
  • yara-python => Escaneo de bibliotecas de Android con reglas de Yara.
  • prompt_toolkit => Shell interactivo.
  • frida => Realice análisis dinámicos para aplicaciones de Android.

Instalación de módulos de Python: pip3 install -r requirements.txt
Recopilar otras dependencias:

  • Clave de API de VirusTotal: https://virustotal.com
  • Binutils: sudo apt-get install binutils
  • ExifTool: sudo apt-get install exiftool
  • Instrumentos de cuerda: sudo apt-get install strings

alarma

Debe proporcionar la ruta binaria jadx en Systems / Android / libScanner.conf

[Rule_PATH]
Ruta de la regla = / Systems / Android / YaraRules /
[Decompiler]
decompiler = JADX_BINARY_PATH <- debe especificar esto.

instalación

  • Simplemente puede instalar Qu1cksc0pe en su sistema. Simplemente ejecute los siguientes comandos.
    Comando 0: sudo pip3 install -r requirements.txt
    Comando 1: sudo python3 qu1cksc0pe.py --install

Analizar argumentos

Análisis normal

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --analyze

Análisis múltiple

propósito de uso: python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...

Escaneo hash

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --hashscan

Carpeta de escaneo

Argumentos apoyados:

propósito de uso: python3 qu1cksc0pe.py --folder FOLDER --hashscan

Total de virus

Contenido del informe:

  • Threat Categories
  • Detections
  • CrowdSourced IDS Reports

Utilizar para –vtFile: python3 qu1cksc0pe.py --file suspicious_file --vtFile

Escaneo de documentos

propósito de uso: python3 qu1cksc0pe.py --file suspicious_document --docs

Reconocimiento del lenguaje de programación

propósito de uso: python3 qu1cksc0pe.py --file suspicious_executable --lang

Shell interactivo

propósito de uso: python3 qu1cksc0pe.py --console

dominio

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --domain

Información sobre categorías

Registro

Esta categoría contiene funciones y cadenas sobre:

  • Cree o elimine claves de registro.
  • Cambio de claves y registros de registro.

expediente

Esta categoría contiene funciones y cadenas sobre:

  • Crear / modificar / infectar / eliminar archivos.
  • Obtenga información sobre el contenido de los archivos y los sistemas de archivos.

Red / web

Esta categoría contiene funciones y cadenas sobre:

  • Comunicación con hosts maliciosos.
  • Descarga de archivos maliciosos.
  • Envío de información sobre equipos infectados y sus usuarios.

procedimiento

Esta categoría contiene funciones y cadenas sobre:

  • Crear / infectar / finalizar procesos.
  • Manipulación de procesos.

Manejo de DLL / recursos

Esta categoría contiene funciones y cadenas sobre:

  • Tratar con archivos DLL y archivos de recursos de otro malware.
  • Infección y manipulación de archivos DLL.

Evadir / desviar

Esta categoría contiene funciones y cadenas sobre:

  • Manipular las políticas de seguridad de Windows y eludir las restricciones.
  • Identificar depuradores y realizar trucos evasivos.

Sistema / persistencia

Esta categoría contiene funciones y cadenas sobre:

  • Ejecutando comandos del sistema.
  • Manipular archivos y opciones del sistema para mantener la persistencia en los sistemas de destino.

COMObject

Esta categoría contiene funciones y cadenas sobre:

  • Sistema de modelo de objetos componentes de Microsoft.

C.riptografía

Esta categoría contiene funciones y cadenas sobre:

  • Cifre y descifre archivos.
  • Creación y destrucción de hashes.

recopilación de información

Esta categoría contiene funciones y cadenas sobre:

  • Recopilar información de hosts de destino, como estados de procesos, dispositivos de red, etc.

Teclado / registro de teclas

Esta categoría contiene funciones y cadenas sobre:

  • Rastrea el teclado de la computadora infectada.
  • Recopilación de información en el teclado del objetivo.
  • Gestionar métodos de entrada, etc.

Gestión de la memoria

Esta categoría contiene funciones y cadenas sobre:

  • Manipular y usar la memoria de las máquinas de destino.

LEER  Cómo instalar WordPress Ubuntu usando la pila LAMP

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba