Puede utilizar esta herramienta para analizar estáticamente archivos ejecutables de Windows, Linux, OSX y archivos APK.
Puedes obtener:
- Qué archivos DLL se utilizan.
- Funciones y API.
- Secciones y Segmentos.
- URL, direcciones IP y correos electrónicos.
- Permisos de Android.
- Extensiones de archivo y sus nombres.Etcétera…
Qu1cksc0pe tiene como objetivo obtener aún más información sobre archivos sospechosos y ayuda al usuario a ver de qué es capaz ese archivo.
propósito de uso
python3 qu1cksc0pe.py --file suspicious_file --analyze
Hospedarse
Módulos de Python necesarios:
- puremagic => Analiza el sistema operativo de destino y los números mágicos.
- androguard => Analizar archivos APK.
- apkid => Busque Ofuscators, Anti-Disassembly, Anti-VM y Anti-Debug.
- prettytable => Buenas salidas.
- tqdm => Animación de la barra de progreso.
- colorama => Salidas coloreadas.
- oletools => Analizar macros de VBA.
- pefile => Recopile toda la información de los archivos PE.
- quark-engine => Extracción de direcciones IP y URL de archivos APK.
- pyaxmlparser => Recopilación de información de archivos APK de destino.
- yara-python => Escaneo de bibliotecas de Android con reglas de Yara.
- prompt_toolkit => Shell interactivo.
Instalación de módulos de Python: pip3 install -r requirements.txt
Recopilar otras dependencias:
- Clave de API de VirusTotal: https://virustotal.com
- Binutils: sudo apt-get install binutils
- ExifTool: sudo apt-get install exiftool
- Instrumentos de cuerda: sudo apt-get install strings
alarma
[Rule_PATH]rulepath = /Systems/Android/YaraRules/[Decompiler]decompiler = JADX_BINARY_PATH <-- You must specify this.
instalación
Analizar argumentos
Análisis normal
propósito de uso: python3 qu1cksc0pe.py –file suspicious_file –analyze
Análisis múltiple
propósito de uso: python3 qu1cksc0pe.py –multiple FILE1 FILE2 …
Escaneo hash
propósito de uso: python3 qu1cksc0pe.py –file suspicious_file –hashscan
Carpeta de escaneo
Argumentos apoyados:
propósito de uso: python3 qu1cksc0pe.py –folder FOLDER –hashscan
VirusTotal
Reportar contenido:
- Threat Categories
- Detections
- CrowdSourced IDS Reports
Utilizar para –vtFile: python3 qu1cksc0pe.py –file suspicious_file –vtFile
Escaneo de documentos
propósito de uso: python3 qu1cksc0pe.py –file suspicious_document –docs
Reconocimiento del lenguaje de programación
propósito de uso: python3 qu1cksc0pe.py –file suspicious_executable –lang
Shell interactivo
propósito de uso: python3 qu1cksc0pe.py –console
dominio
propósito de uso: python3 qu1cksc0pe.py –file suspicious_file –domain
Información sobre categorías
Registro
Esta categoría contiene funciones y cadenas sobre:
- Cree o elimine claves de registro.
- Cambie las claves de registro y los registros.
expediente
Esta categoría contiene funciones y cadenas sobre:
- Crear / modificar / infectar / eliminar archivos.
- Obtenga información sobre el contenido de los archivos y los sistemas de archivos.
Red / web
Esta categoría contiene funciones y cadenas sobre:
- Comunicación con hosts maliciosos.
- Descarga de archivos maliciosos.
- Envío de información sobre equipos infectados y sus usuarios.
procedimiento
Esta categoría contiene funciones y cadenas sobre:
- Crear / infectar / finalizar procesos.
- Manipulación de procesos.
Manejo de DLL / recursos
Esta categoría contiene funciones y cadenas sobre:
- Tratar con archivos DLL y archivos de recursos de otro malware.
- Infección y manipulación de archivos DLL.
Evadir / desviar
Esta categoría contiene funciones y cadenas sobre:
- Manipular las políticas de seguridad de Windows y eludir las restricciones.
- Identificar depuradores y realizar trucos evasivos.
Sistema / persistencia
Esta categoría contiene funciones y cadenas sobre:
- Ejecución de comandos del sistema.
- Manipular archivos y opciones del sistema para mantener la persistencia en los sistemas de destino.
COMObject
Esta categoría contiene funciones y cadenas sobre:
- Sistema de modelo de objetos componentes de Microsoft.
Criptografía
Esta categoría contiene funciones y cadenas sobre:
- Cifre y descifre archivos.
- Creación y destrucción de hashes.
recopilación de información
Esta categoría contiene funciones y cadenas sobre:
- Recopilar información de hosts de destino, como estados de procesos, dispositivos de red, etc.
Teclado / registro de teclas
Esta categoría contiene funciones y cadenas sobre:
- Rastrea el teclado de la computadora infectada.
- Recopilación de información en el teclado del objetivo.
- Gestionar métodos de entrada, etc.
Gestión de la memoria
Esta categoría contiene funciones y cadenas sobre:
- Manipular y utilizar la memoria de las máquinas de destino.
Entradas relacionadas:
