Tutoriales

Herramienta todo en uno para el análisis de malware estático

Qu1cksc0pe Puede utilizar esta herramienta para analizar estáticamente archivos ejecutables de Windows, Linux, OSX y archivos APK.

Puedes obtener:

  • Qué archivos DLL se utilizan.
  • Funciones y API.
  • Secciones y Segmentos.
  • URL, direcciones IP y correos electrónicos.
  • Permisos de Android.
  • Extensiones de archivo y sus nombres.
    Etcétera…

Qu1cksc0pe tiene como objetivo obtener aún más información sobre archivos sospechosos y ayuda al usuario a ver de qué es capaz ese archivo.

propósito de uso

python3 qu1cksc0pe.py –file suspicious_file –analyze

Captura de pantalla

Actualizar

09/10/2021

  • Adicional AndroidRuntime Módulo. ¡Ahora puede analizar dinámicamente las aplicaciones de Android!

Disponible en

Nota

  • También puede utilizar Qu1cksc0pe desde Windows Subsystem Linux bajo Windows10.

Hospedarse

Módulos de Python necesarios:

  • puremagic => Analiza el sistema operativo de destino y los números mágicos.
  • androguard => Analizar archivos APK.
  • apkid => Busque Ofuscators, Anti-Disassembly, Anti-VM y Anti-Debug.
  • prettytable => Buenas salidas.
  • tqdm => Animación de la barra de progreso.
  • colorama => Salidas coloreadas.
  • oletools => Analizar macros de VBA.
  • pefile => Recopile toda la información de los archivos PE.
  • quark-engine => Extracción de direcciones IP y URL de archivos APK.
  • pyaxmlparser => Recopilación de información de archivos APK de destino.
  • yara-python => Escaneo de bibliotecas de Android con reglas de Yara.
  • prompt_toolkit => Shell interactivo.
  • frida => Realice análisis dinámicos para aplicaciones de Android.

Instalación de módulos de Python: pip3 install -r requirements.txt
Recopilar otras dependencias:

  • Clave de API de VirusTotal: https://virustotal.com
  • Binutils: sudo apt-get install binutils
  • ExifTool: sudo apt-get install exiftool
  • Instrumentos de cuerda: sudo apt-get install strings

alarma

Debe proporcionar la ruta binaria jadx en Systems / Android / libScanner.conf

[Rule_PATH]
Ruta de la regla = / Systems / Android / YaraRules /
[Decompiler]
decompiler = JADX_BINARY_PATH <- debe especificar esto.

instalación

  • Simplemente puede instalar Qu1cksc0pe en su sistema. Simplemente ejecute los siguientes comandos.
    Comando 0: sudo pip3 install -r requirements.txt
    Comando 1: sudo python3 qu1cksc0pe.py --install

Analizar argumentos

Análisis normal

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --analyze

Análisis múltiple

propósito de uso: python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...

Escaneo hash

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --hashscan

Carpeta de escaneo

Argumentos apoyados:

propósito de uso: python3 qu1cksc0pe.py --folder FOLDER --hashscan

Total de virus

Contenido del informe:

  • Threat Categories
  • Detections
  • CrowdSourced IDS Reports

Utilizar para –vtFile: python3 qu1cksc0pe.py --file suspicious_file --vtFile

Escaneo de documentos

propósito de uso: python3 qu1cksc0pe.py --file suspicious_document --docs

Reconocimiento del lenguaje de programación

propósito de uso: python3 qu1cksc0pe.py --file suspicious_executable --lang

Shell interactivo

propósito de uso: python3 qu1cksc0pe.py --console

dominio

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --domain

Información sobre categorías

Registro

Esta categoría contiene funciones y cadenas sobre:

  • Cree o elimine claves de registro.
  • Cambio de claves y registros de registro.

expediente

Esta categoría contiene funciones y cadenas sobre:

  • Crear / modificar / infectar / eliminar archivos.
  • Obtenga información sobre el contenido de los archivos y los sistemas de archivos.

Red / web

Esta categoría contiene funciones y cadenas sobre:

  • Comunicación con hosts maliciosos.
  • Descarga de archivos maliciosos.
  • Envío de información sobre equipos infectados y sus usuarios.

procedimiento

Esta categoría contiene funciones y cadenas sobre:

  • Crear / infectar / finalizar procesos.
  • Manipulación de procesos.

Manejo de DLL / recursos

Esta categoría contiene funciones y cadenas sobre:

  • Tratar con archivos DLL y archivos de recursos de otro malware.
  • Infección y manipulación de archivos DLL.

Evadir / desviar

Esta categoría contiene funciones y cadenas sobre:

  • Manipular las políticas de seguridad de Windows y eludir las restricciones.
  • Identificar depuradores y realizar trucos evasivos.

Sistema / persistencia

Esta categoría contiene funciones y cadenas sobre:

  • Ejecutando comandos del sistema.
  • Manipular archivos y opciones del sistema para mantener la persistencia en los sistemas de destino.

COMObject

Esta categoría contiene funciones y cadenas sobre:

  • Sistema de modelo de objetos componentes de Microsoft.

C.riptografía

Esta categoría contiene funciones y cadenas sobre:

  • Cifre y descifre archivos.
  • Creación y destrucción de hashes.

recopilación de información

Esta categoría contiene funciones y cadenas sobre:

  • Recopilar información de hosts de destino, como estados de procesos, dispositivos de red, etc.

Teclado / registro de teclas

Esta categoría contiene funciones y cadenas sobre:

  • Rastrea el teclado de la computadora infectada.
  • Recopilación de información en el teclado del objetivo.
  • Gestionar métodos de entrada, etc.

Gestión de la memoria

Esta categoría contiene funciones y cadenas sobre:

  • Manipular y usar la memoria de las máquinas de destino.

LEER  ¿Qué es el filtrado de DNS y cómo usarlo para una navegación segura?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba