Qu1cksc0pe Puede utilizar esta herramienta para analizar estáticamente archivos ejecutables de Windows, Linux, OSX y archivos APK.
Puedes obtener:
- Qué archivos DLL se utilizan.
- Funciones y API.
- Secciones y Segmentos.
- URL, direcciones IP y correos electrónicos.
- Permisos de Android.
- Extensiones de archivo y sus nombres.
Etcétera…
Qu1cksc0pe tiene como objetivo obtener aún más información sobre archivos sospechosos y ayuda al usuario a ver de qué es capaz ese archivo.
propósito de uso
python3 qu1cksc0pe.py –file suspicious_file –analyze
Captura de pantalla
Actualizar
09/10/2021
- Adicional
AndroidRuntime
Módulo. ¡Ahora puede analizar dinámicamente las aplicaciones de Android!
Disponible en
Nota
- También puede utilizar Qu1cksc0pe desde
Windows Subsystem Linux
bajo Windows10.
Hospedarse
Módulos de Python necesarios:
puremagic
=> Analiza el sistema operativo de destino y los números mágicos.androguard
=> Analizar archivos APK.apkid
=> Busque Ofuscators, Anti-Disassembly, Anti-VM y Anti-Debug.prettytable
=> Buenas salidas.tqdm
=> Animación de la barra de progreso.colorama
=> Salidas coloreadas.oletools
=> Analizar macros de VBA.pefile
=> Recopile toda la información de los archivos PE.quark-engine
=> Extracción de direcciones IP y URL de archivos APK.pyaxmlparser
=> Recopilación de información de archivos APK de destino.yara-python
=> Escaneo de bibliotecas de Android con reglas de Yara.prompt_toolkit
=> Shell interactivo.frida
=> Realice análisis dinámicos para aplicaciones de Android.
Instalación de módulos de Python: pip3 install -r requirements.txt
Recopilar otras dependencias:
- Clave de API de VirusTotal:
https://virustotal.com
- Binutils:
sudo apt-get install binutils
- ExifTool:
sudo apt-get install exiftool
- Instrumentos de cuerda:
sudo apt-get install strings
alarma
Debe proporcionar la ruta binaria jadx en Systems / Android / libScanner.conf
[Rule_PATH]
Ruta de la regla = / Systems / Android / YaraRules /
[Decompiler]
decompiler = JADX_BINARY_PATH <- debe especificar esto.
instalación
- Simplemente puede instalar Qu1cksc0pe en su sistema. Simplemente ejecute los siguientes comandos.
Comando 0:sudo pip3 install -r requirements.txt
Comando 1:sudo python3 qu1cksc0pe.py --install
Analizar argumentos
Análisis normal
propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --analyze
Análisis múltiple
propósito de uso: python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...
Escaneo hash
propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --hashscan
Carpeta de escaneo
Argumentos apoyados:
propósito de uso: python3 qu1cksc0pe.py --folder FOLDER --hashscan
Total de virus
Contenido del informe:
Threat Categories
Detections
CrowdSourced IDS Reports
Utilizar para –vtFile: python3 qu1cksc0pe.py --file suspicious_file --vtFile
Escaneo de documentos
propósito de uso: python3 qu1cksc0pe.py --file suspicious_document --docs
Reconocimiento del lenguaje de programación
propósito de uso: python3 qu1cksc0pe.py --file suspicious_executable --lang
Shell interactivo
propósito de uso: python3 qu1cksc0pe.py --console
dominio
propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --domain
Información sobre categorías
Registro
Esta categoría contiene funciones y cadenas sobre:
- Cree o elimine claves de registro.
- Cambio de claves y registros de registro.
expediente
Esta categoría contiene funciones y cadenas sobre:
- Crear / modificar / infectar / eliminar archivos.
- Obtenga información sobre el contenido de los archivos y los sistemas de archivos.
Red / web
Esta categoría contiene funciones y cadenas sobre:
- Comunicación con hosts maliciosos.
- Descarga de archivos maliciosos.
- Envío de información sobre equipos infectados y sus usuarios.
procedimiento
Esta categoría contiene funciones y cadenas sobre:
- Crear / infectar / finalizar procesos.
- Manipulación de procesos.
Manejo de DLL / recursos
Esta categoría contiene funciones y cadenas sobre:
- Tratar con archivos DLL y archivos de recursos de otro malware.
- Infección y manipulación de archivos DLL.
Evadir / desviar
Esta categoría contiene funciones y cadenas sobre:
- Manipular las políticas de seguridad de Windows y eludir las restricciones.
- Identificar depuradores y realizar trucos evasivos.
Sistema / persistencia
Esta categoría contiene funciones y cadenas sobre:
- Ejecutando comandos del sistema.
- Manipular archivos y opciones del sistema para mantener la persistencia en los sistemas de destino.
COMObject
Esta categoría contiene funciones y cadenas sobre:
- Sistema de modelo de objetos componentes de Microsoft.
C.riptografía
Esta categoría contiene funciones y cadenas sobre:
- Cifre y descifre archivos.
- Creación y destrucción de hashes.
recopilación de información
Esta categoría contiene funciones y cadenas sobre:
- Recopilar información de hosts de destino, como estados de procesos, dispositivos de red, etc.
Teclado / registro de teclas
Esta categoría contiene funciones y cadenas sobre:
- Rastrea el teclado de la computadora infectada.
- Recopilación de información en el teclado del objetivo.
- Gestionar métodos de entrada, etc.
Gestión de la memoria
Esta categoría contiene funciones y cadenas sobre:
- Manipular y usar la memoria de las máquinas de destino.