in

Herramienta todo en uno para el análisis de malware estático




Puede utilizar esta herramienta para analizar estáticamente archivos ejecutables de Windows, Linux, OSX y archivos APK.

Puedes obtener:

  • Qué archivos DLL se utilizan.
  • Funciones y API.
  • Secciones y Segmentos.
  • URL, direcciones IP y correos electrónicos.
  • Permisos de Android.
  • Extensiones de archivo y sus nombres.

    Etcétera…

Qu1cksc0pe tiene como objetivo obtener aún más información sobre archivos sospechosos y ayuda al usuario a ver de qué es capaz ese archivo.

propósito de uso

python3 qu1cksc0pe.py --file suspicious_file --analyze

Hospedarse

Módulos de Python necesarios:

  • puremagic => Analiza el sistema operativo de destino y los números mágicos.
  • androguard => Analizar archivos APK.
  • apkid => Busque Ofuscators, Anti-Disassembly, Anti-VM y Anti-Debug.
  • prettytable => Buenas salidas.
  • tqdm => Animación de la barra de progreso.
  • colorama => Salidas coloreadas.
  • oletools => Analizar macros de VBA.
  • pefile => Recopile toda la información de los archivos PE.
  • quark-engine => Extracción de direcciones IP y URL de archivos APK.
  • pyaxmlparser => Recopilación de información de archivos APK de destino.
  • yara-python => Escaneo de bibliotecas de Android con reglas de Yara.
  • prompt_toolkit => Shell interactivo.

Instalación de módulos de Python: pip3 install -r requirements.txt
Recopilar otras dependencias:

  • Clave de API de VirusTotal: https://virustotal.com
  • Binutils: sudo apt-get install binutils
  • ExifTool: sudo apt-get install exiftool
  • Instrumentos de cuerda: sudo apt-get install strings

alarma

Debe proporcionar la ruta binaria jadx en Systems / Android / libScanner.conf

[Rule_PATH]
rulepath = /Systems/Android/YaraRules/

[Decompiler]
decompiler = JADX_BINARY_PATH <-- You must specify this.

instalación

Analizar argumentos

Análisis normal

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --analyze

Análisis múltiple

propósito de uso: python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...

Escaneo hash

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --hashscan

Carpeta de escaneo

Argumentos apoyados:

propósito de uso: python3 qu1cksc0pe.py --folder FOLDER --hashscan




VirusTotal

Reportar contenido:

  • Threat Categories
  • Detections
  • CrowdSourced IDS Reports

Utilizar para –vtFile: python3 qu1cksc0pe.py --file suspicious_file --vtFile




Escaneo de documentos

propósito de uso: python3 qu1cksc0pe.py --file suspicious_document --docs

Reconocimiento del lenguaje de programación

propósito de uso: python3 qu1cksc0pe.py --file suspicious_executable --lang

Shell interactivo

propósito de uso: python3 qu1cksc0pe.py --console

dominio

propósito de uso: python3 qu1cksc0pe.py --file suspicious_file --domain

Información sobre categorías

Registro

Esta categoría contiene funciones y cadenas sobre:

  • Cree o elimine claves de registro.
  • Cambie las claves de registro y los registros.

expediente

Esta categoría contiene funciones y cadenas sobre:

  • Crear / modificar / infectar / eliminar archivos.
  • Obtenga información sobre el contenido de los archivos y los sistemas de archivos.

Red / web

Esta categoría contiene funciones y cadenas sobre:

  • Comunicación con hosts maliciosos.
  • Descarga de archivos maliciosos.
  • Envío de información sobre equipos infectados y sus usuarios.

procedimiento

Esta categoría contiene funciones y cadenas sobre:

  • Crear / infectar / finalizar procesos.
  • Manipulación de procesos.

Manejo de DLL / recursos

Esta categoría contiene funciones y cadenas sobre:

  • Tratar con archivos DLL y archivos de recursos de otro malware.
  • Infección y manipulación de archivos DLL.

Evadir / desviar

Esta categoría contiene funciones y cadenas sobre:

  • Manipular las políticas de seguridad de Windows y eludir las restricciones.
  • Identificar depuradores y realizar trucos evasivos.

Sistema / persistencia

Esta categoría contiene funciones y cadenas sobre:

  • Ejecución de comandos del sistema.
  • Manipular archivos y opciones del sistema para mantener la persistencia en los sistemas de destino.

COMObject

Esta categoría contiene funciones y cadenas sobre:

  • Sistema de modelo de objetos componentes de Microsoft.

Criptografía

Esta categoría contiene funciones y cadenas sobre:

  • Cifre y descifre archivos.
  • Creación y destrucción de hashes.

recopilación de información

Esta categoría contiene funciones y cadenas sobre:

  • Recopilar información de hosts de destino, como estados de procesos, dispositivos de red, etc.

Teclado / registro de teclas

Esta categoría contiene funciones y cadenas sobre:

  • Rastrea el teclado de la computadora infectada.
  • Recopilación de información en el teclado del objetivo.
  • Gestionar métodos de entrada, etc.

Gestión de la memoria

Esta categoría contiene funciones y cadenas sobre:

  • Manipular y utilizar la memoria de las máquinas de destino.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Información privilegiada de Bank of America acusada de lavado de dinero por fraude BEC

Personalice su experiencia de Windows 11 con estas aplicaciones gratuitas