惡意文件分析工具
工具介紹
capa 檢測(cè)可執(zhí)行文件中的功能。您針對(duì) PE、ELF、.NET 模塊或 shellcode 文件運(yùn)行它,它會(huì)告訴您它認(rèn)為該程序可以做什么。例如,它可能表明該文件是后門(mén)、能夠安裝服務(wù)或依賴 HTTP 進(jìn)行通信。
工具使用針對(duì)未知二進(jìn)制文件 ( suspicious.exe) 運(yùn)行 capa,該工具報(bào)告該程序可以發(fā)送 HTTP 請(qǐng)求、通過(guò) XOR 和 Base64 解碼數(shù)據(jù)、安裝服務(wù)并生成新進(jìn)程。總而言之,這讓我們認(rèn)為這suspicious.exe可能是一個(gè)持久的后門(mén)。因此,我們的下一個(gè)分析步驟可能是在沙箱中運(yùn)行suspicious.exe并嘗試恢復(fù)命令和控制服務(wù)器。通過(guò)傳遞-vv標(biāo)志(非常詳細(xì)),capa 準(zhǔn)確報(bào)告在哪里找到了這些功能的證據(jù)。這至少有兩個(gè)原因:- 它有助于解釋為什么我們應(yīng)該相信結(jié)果,并使我們能夠驗(yàn)證結(jié)論,并且
- 它顯示了經(jīng)驗(yàn)豐富的分析師可以使用 IDA Pro 研究二進(jìn)制文件中的哪些位置
$ capa.exe suspicious.exe -vv
...
execute shell command and capture output
namespace c2/shell
author matthew.williams@mandiant.com
scope function
att&ck Execution::Command and Scripting Interpreter::Windows Command Shell [T1059.003]
references https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-startupinfoa
function @ 0x4011C0
and:
match: create a process with modified I/O handles and window @ 0x4011C0
and:
number: 257 = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW @ 0x4012B8
or:
number: 68 = StartupInfo.cb (size) @ 0x401282
or: = API functions that accept a pointer to a STARTUPINFO structure
api: kernel32.CreateProcess @ 0x401343
match: create pipe @ 0x4011C0
or:
api: kernel32.CreatePipe @ 0x40126F, 0x401280
optional:
match: create thread @ 0x40136A, 0x4013BA
or:
and:
os: windows
or:
api: kernel32.CreateThread @ 0x4013D7
or:
and:
os: windows
or:
api: kernel32.CreateThread @ 0x401395
or:
string: "cmd.exe" @ 0x4012FD
...
capa 使用一組規(guī)則來(lái)識(shí)別程序中的功能。這些規(guī)則很容易編寫(xiě),即使對(duì)于逆向工程新手來(lái)說(shuō)也是如此。通過(guò)編寫(xiě)規(guī)則,您可以擴(kuò)展 capa 識(shí)別的功能。在某些方面,capa 規(guī)則是 OpenIOC、Yara 和 YAML 格式的混合。
以下是 capa 使用的規(guī)則示例:
rule:
meta:
name: hash data with CRC32
namespace: data-manipulation/checksum/crc32
authors:
- moritz.raabe@mandiant.com
scope: function
mbc:
- Data::Checksum::CRC32 [C0032.001]
examples:
- 2D3EDC218A90F03089CC01715A9F047F:0x403CBD
- 7D28CB106CB54876B2A5C111724A07CD:0x402350 # RtlComputeCrc32
- 7EFF498DE13CC734262F87E6B3EF38AB:0x100084A6
features:
- or:
- and:
- mnemonic: shr
- or:
- number: 0xEDB88320
- bytes: 00 00 00 00 96 30 07 77 2C 61 0E EE BA 51 09 99 19 C4 6D 07 8F F4 6A 70 35 A5 63 E9 A3 95 64 9E = crc32_tab
- number: 8
- characteristic: nzxor
- and:
- number: 0x8320
- number: 0xEDB8
- characteristic: nzxor
- api: RtlComputeCrc32
下載鏈接:
鏈接:https://pan.quark.cn/s/01e6d73b416b
項(xiàng)目地址:https://github.com/mandiant/capa
聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。
舉報(bào)投訴
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
9017瀏覽量
85182 -
HTTP
+關(guān)注
關(guān)注
0文章
501瀏覽量
31056 -
分析工具
+關(guān)注
關(guān)注
0文章
28瀏覽量
5074
原文標(biāo)題:【藍(lán)隊(duì)】惡意文件分析工具
文章出處:【微信號(hào):菜鳥(niǎo)學(xué)安全,微信公眾號(hào):菜鳥(niǎo)學(xué)安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
小米路由器任意文件讀取及遠(yuǎn)程命令執(zhí)行漏洞解析
存在任意文件讀取漏洞和遠(yuǎn)程命令執(zhí)行漏洞,攻擊者通過(guò)該漏洞可以獲取服務(wù)器權(quán)限,導(dǎo)致服務(wù)器失陷。 二、漏洞復(fù)現(xiàn) 系統(tǒng)首頁(yè)地址及頁(yè)面顯示如下 ? ?http://xx.xx.xx.xx/cgi-bin
發(fā)表于 03-01 15:09
?3522次閱讀
干掉電腦里所有的惡意軟件!![給電腦徹底洗個(gè)澡]
干掉電腦里所有的惡意軟件!![給電腦徹底洗個(gè)澡]Winlogon.exe被惡意軟件劫持的時(shí)候,有些明顯的惡意文件連Unlocker都無(wú)法去除(在解鎖的時(shí)候系統(tǒng)已經(jīng)重新啟動(dòng)了).信不信由你,這個(gè)只有
發(fā)表于 06-16 13:46
google惡意軟件警告提示怎么處理?
google惡意軟件警告提示怎么處理?google惡意軟件警告處理方法按google說(shuō)明:如果您檢查過(guò)網(wǎng)站并確認(rèn)網(wǎng)站已恢復(fù)安全,便可以提交重新審核的請(qǐng)求:請(qǐng)注意,您需要先驗(yàn)證網(wǎng)站的所有權(quán),然后才能
發(fā)表于 04-27 11:23
基于注冊(cè)表Hive文件的惡意程序隱藏檢測(cè)方法
研究當(dāng)今惡意程序的發(fā)展趨勢(shì),系統(tǒng)比較了在注冊(cè)表隱藏和檢測(cè)方面的諸多技術(shù)和方法,綜合分析了它們存在的不足,提出了一種基于注冊(cè)表Hive文件來(lái)進(jìn)行惡意程序隱藏檢測(cè)的方
發(fā)表于 12-16 01:14
?19次下載
開(kāi)卡配置文件設(shè)置工具,sss量產(chǎn)INI文件設(shè)置工具
開(kāi)卡配置文件設(shè)置工具,sss量產(chǎn)INI文件設(shè)置工具
發(fā)表于 04-21 01:22
?27次下載
計(jì)算機(jī)惡意軟件的危害分析排行
最危險(xiǎn)的惡意軟件之一。 在過(guò)去的幾個(gè)月中,我們讀到過(guò)很多關(guān)于Necurs僵尸網(wǎng)絡(luò)活動(dòng)的新聞,網(wǎng)絡(luò)騙子利用該網(wǎng)絡(luò)發(fā)送致命的Locky勒索軟件。 Proofpoint 上周的一份報(bào)告也指出,在所有通過(guò)垃圾郵件傳播的惡意文件中,Locky占97%。 Check Point發(fā)布的
發(fā)表于 09-20 10:48
?0次下載
HookAds惡意廣告利用Windows漏洞下載惡意軟件負(fù)載
近期,將訪客重定向至FalloutExploit Kit的HookAds惡意廣告活動(dòng)猖獗。工具包經(jīng)激活后,會(huì)嘗試?yán)肳indows的已知漏洞下載DanaBot銀行木馬、“夜賊(Nocturnal stealer)”信息竊取程序以及GlobeImposter勒索軟件等其他
如何使用圖像紋理和卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行惡意文件的檢測(cè)方法
在大數(shù)據(jù)環(huán)境下,針對(duì)傳統(tǒng)惡意文件檢測(cè)方法對(duì)經(jīng)過(guò)代碼變種和混淆后的惡意文件檢測(cè)準(zhǔn)確率低以及對(duì)跨平臺(tái)惡意文件檢測(cè)通用性弱等問(wèn)題,提出一種基于圖像紋理和卷積神經(jīng)網(wǎng)絡(luò)的惡意文件檢測(cè)方法。首先,
發(fā)表于 12-12 16:59
?0次下載
CISA發(fā)布惡意軟件分析報(bào)告,包含19個(gè)惡意文件的詳細(xì)細(xì)節(jié)
當(dāng)?shù)貢r(shí)間9月15日,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份惡意軟件分析報(bào)告(MAR),該報(bào)告詳細(xì)介紹了19個(gè)惡意文件的細(xì)節(jié),其中包含有關(guān)伊朗黑客使用的Web Shell的技術(shù)細(xì)節(jié)。
基于機(jī)器學(xué)習(xí)的惡意代碼檢測(cè)分類
基于特征碼匹配的靜態(tài)分析方法提取的特征滯后于病毒發(fā)展,且不能檢測(cè)出未知病毒。為此,從病毒反編譯文件及其灰度圖出發(fā)進(jìn)行特征提取及融合,采用機(jī)器學(xué)習(xí)中的隨機(jī)森林(RF)算法對(duì)惡意代碼家族進(jìn)行分類,提取
發(fā)表于 06-10 11:03
?14次下載
VeinMind Tools正式發(fā)布 v2.0版本
VeinMind Tools 是基于 VeinMind SDK 打造的一個(gè)容器安全工具集,目前已支持鏡像惡意文件、后門(mén)、敏感信息、弱口令等掃描功能。此次更新的 v2.0 版本,優(yōu)化、增添了以下核心亮點(diǎn)功能:
虹科分享|無(wú)文件惡意軟件將擊敗您的EDR|終端入侵防御
無(wú)文件惡意軟件攻擊大多無(wú)法檢測(cè)到。它們經(jīng)過(guò)精心設(shè)計(jì),可以繞過(guò)NGAV、EPP和EDR/XDR/MDR等檢測(cè)和響應(yīng)網(wǎng)絡(luò)安全工具。
隨著無(wú)文件惡意
一款用于Windows的開(kāi)源反rookit (ARK)工具
集合190+個(gè),包括惡意程序逆向分析、安卓逆向分析、jar 逆向分析、開(kāi)發(fā)工具、應(yīng)急分析
賽門(mén)鐵克惡意軟件分析服務(wù)
電子發(fā)燒友網(wǎng)站提供《賽門(mén)鐵克惡意軟件分析服務(wù).pdf》資料免費(fèi)下載
發(fā)表于 09-08 09:39
?0次下載
工商網(wǎng)監(jiān)
評(píng)論