惡意文件分析工具
工具介紹
capa 檢測可執(zhí)行文件中的功能。您針對 PE、ELF、.NET 模塊或 shellcode 文件運(yùn)行它,它會告訴您它認(rèn)為該程序可以做什么。例如,它可能表明該文件是后門、能夠安裝服務(wù)或依賴 HTTP 進(jìn)行通信。
工具使用針對未知二進(jìn)制文件 ( suspicious.exe) 運(yùn)行 capa,該工具報告該程序可以發(fā)送 HTTP 請求、通過 XOR 和 Base64 解碼數(shù)據(jù)、安裝服務(wù)并生成新進(jìn)程。總而言之,這讓我們認(rèn)為這suspicious.exe可能是一個持久的后門。因此,我們的下一個分析步驟可能是在沙箱中運(yùn)行suspicious.exe并嘗試恢復(fù)命令和控制服務(wù)器。通過傳遞-vv標(biāo)志(非常詳細(xì)),capa 準(zhǔn)確報告在哪里找到了這些功能的證據(jù)。這至少有兩個原因:- 它有助于解釋為什么我們應(yīng)該相信結(jié)果,并使我們能夠驗證結(jié)論,并且
- 它顯示了經(jīng)驗豐富的分析師可以使用 IDA Pro 研究二進(jìn)制文件中的哪些位置
$ capa.exe suspicious.exe -vv
...
execute shell command and capture output
namespace c2/shell
author matthew.williams@mandiant.com
scope function
att&ck Execution::Command and Scripting Interpreter::Windows Command Shell [T1059.003]
references https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-startupinfoa
function @ 0x4011C0
and:
match: create a process with modified I/O handles and window @ 0x4011C0
and:
number: 257 = STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW @ 0x4012B8
or:
number: 68 = StartupInfo.cb (size) @ 0x401282
or: = API functions that accept a pointer to a STARTUPINFO structure
api: kernel32.CreateProcess @ 0x401343
match: create pipe @ 0x4011C0
or:
api: kernel32.CreatePipe @ 0x40126F, 0x401280
optional:
match: create thread @ 0x40136A, 0x4013BA
or:
and:
os: windows
or:
api: kernel32.CreateThread @ 0x4013D7
or:
and:
os: windows
or:
api: kernel32.CreateThread @ 0x401395
or:
string: "cmd.exe" @ 0x4012FD
...
capa 使用一組規(guī)則來識別程序中的功能。這些規(guī)則很容易編寫,即使對于逆向工程新手來說也是如此。通過編寫規(guī)則,您可以擴(kuò)展 capa 識別的功能。在某些方面,capa 規(guī)則是 OpenIOC、Yara 和 YAML 格式的混合。
以下是 capa 使用的規(guī)則示例:
rule:
meta:
name: hash data with CRC32
namespace: data-manipulation/checksum/crc32
authors:
- moritz.raabe@mandiant.com
scope: function
mbc:
- Data::Checksum::CRC32 [C0032.001]
examples:
- 2D3EDC218A90F03089CC01715A9F047F:0x403CBD
- 7D28CB106CB54876B2A5C111724A07CD:0x402350 # RtlComputeCrc32
- 7EFF498DE13CC734262F87E6B3EF38AB:0x100084A6
features:
- or:
- and:
- mnemonic: shr
- or:
- number: 0xEDB88320
- bytes: 00 00 00 00 96 30 07 77 2C 61 0E EE BA 51 09 99 19 C4 6D 07 8F F4 6A 70 35 A5 63 E9 A3 95 64 9E = crc32_tab
- number: 8
- characteristic: nzxor
- and:
- number: 0x8320
- number: 0xEDB8
- characteristic: nzxor
- api: RtlComputeCrc32
下載鏈接:
鏈接:https://pan.quark.cn/s/01e6d73b416b
項目地址:https://github.com/mandiant/capa
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
9160瀏覽量
85421 -
HTTP
+關(guān)注
關(guān)注
0文章
505瀏覽量
31227 -
分析工具
+關(guān)注
關(guān)注
0文章
28瀏覽量
5083
原文標(biāo)題:【藍(lán)隊】惡意文件分析工具
文章出處:【微信號:菜鳥學(xué)安全,微信公眾號:菜鳥學(xué)安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
小米路由器任意文件讀取及遠(yuǎn)程命令執(zhí)行漏洞解析
存在任意文件讀取漏洞和遠(yuǎn)程命令執(zhí)行漏洞,攻擊者通過該漏洞可以獲取服務(wù)器權(quán)限,導(dǎo)致服務(wù)器失陷。 二、漏洞復(fù)現(xiàn) 系統(tǒng)首頁地址及頁面顯示如下 ? ?http://xx.xx.xx.xx/cgi-bin
發(fā)表于 03-01 15:09
?3747次閱讀
干掉電腦里所有的惡意軟件!![給電腦徹底洗個澡]
干掉電腦里所有的惡意軟件!![給電腦徹底洗個澡]Winlogon.exe被惡意軟件劫持的時候,有些明顯的惡意文件連Unlocker都無法去除(在解鎖的時候系統(tǒng)已經(jīng)重新啟動了).信不信由你,這個只有
發(fā)表于 06-16 13:46
google惡意軟件警告提示怎么處理?
google惡意軟件警告提示怎么處理?google惡意軟件警告處理方法按google說明:如果您檢查過網(wǎng)站并確認(rèn)網(wǎng)站已恢復(fù)安全,便可以提交重新審核的請求:請注意,您需要先驗證網(wǎng)站的所有權(quán),然后才能
發(fā)表于 04-27 11:23
基于注冊表Hive文件的惡意程序隱藏檢測方法
研究當(dāng)今惡意程序的發(fā)展趨勢,系統(tǒng)比較了在注冊表隱藏和檢測方面的諸多技術(shù)和方法,綜合分析了它們存在的不足,提出了一種基于注冊表Hive文件來進(jìn)行惡意程序隱藏檢測的方
發(fā)表于 12-16 01:14
?19次下載
開卡配置文件設(shè)置工具,sss量產(chǎn)INI文件設(shè)置工具
開卡配置文件設(shè)置工具,sss量產(chǎn)INI文件設(shè)置工具
發(fā)表于 04-21 01:22
?27次下載
計算機(jī)惡意軟件的危害分析排行
最危險的惡意軟件之一。 在過去的幾個月中,我們讀到過很多關(guān)于Necurs僵尸網(wǎng)絡(luò)活動的新聞,網(wǎng)絡(luò)騙子利用該網(wǎng)絡(luò)發(fā)送致命的Locky勒索軟件。 Proofpoint 上周的一份報告也指出,在所有通過垃圾郵件傳播的惡意文件中,Locky占97%。 Check Point發(fā)布的
發(fā)表于 09-20 10:48
?0次下載
HookAds惡意廣告利用Windows漏洞下載惡意軟件負(fù)載
近期,將訪客重定向至FalloutExploit Kit的HookAds惡意廣告活動猖獗。工具包經(jīng)激活后,會嘗試?yán)肳indows的已知漏洞下載DanaBot銀行木馬、“夜賊(Nocturnal stealer)”信息竊取程序以及GlobeImposter勒索軟件等其他
如何使用圖像紋理和卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行惡意文件的檢測方法
在大數(shù)據(jù)環(huán)境下,針對傳統(tǒng)惡意文件檢測方法對經(jīng)過代碼變種和混淆后的惡意文件檢測準(zhǔn)確率低以及對跨平臺惡意文件檢測通用性弱等問題,提出一種基于圖像紋理和卷積神經(jīng)網(wǎng)絡(luò)的惡意文件檢測方法。首先,
發(fā)表于 12-12 16:59
?0次下載
CISA發(fā)布惡意軟件分析報告,包含19個惡意文件的詳細(xì)細(xì)節(jié)
當(dāng)?shù)貢r間9月15日,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份惡意軟件分析報告(MAR),該報告詳細(xì)介紹了19個惡意文件的細(xì)節(jié),其中包含有關(guān)伊朗黑客使用的Web Shell的技術(shù)細(xì)節(jié)。
基于機(jī)器學(xué)習(xí)的惡意代碼檢測分類
基于特征碼匹配的靜態(tài)分析方法提取的特征滯后于病毒發(fā)展,且不能檢測出未知病毒。為此,從病毒反編譯文件及其灰度圖出發(fā)進(jìn)行特征提取及融合,采用機(jī)器學(xué)習(xí)中的隨機(jī)森林(RF)算法對惡意代碼家族進(jìn)行分類,提取
發(fā)表于 06-10 11:03
?14次下載
VeinMind Tools正式發(fā)布 v2.0版本
VeinMind Tools 是基于 VeinMind SDK 打造的一個容器安全工具集,目前已支持鏡像惡意文件、后門、敏感信息、弱口令等掃描功能。此次更新的 v2.0 版本,優(yōu)化、增添了以下核心亮點功能:
虹科分享|無文件惡意軟件將擊敗您的EDR|終端入侵防御
無文件惡意軟件攻擊大多無法檢測到。它們經(jīng)過精心設(shè)計,可以繞過NGAV、EPP和EDR/XDR/MDR等檢測和響應(yīng)網(wǎng)絡(luò)安全工具。
隨著無文件惡意
一款用于Windows的開源反rookit (ARK)工具
集合190+個,包括惡意程序逆向分析、安卓逆向分析、jar 逆向分析、開發(fā)工具、應(yīng)急分析
工商網(wǎng)監(jiān)
評論