恶意文件分析工具
工具介绍
capa 检测可执行文件中的功能。您针对 pe、elf、.net 模块或 shellcode 文件运行它,它会告诉您它认为该程序可以做什么。例如,它可能表明该文件是后门、能够安装服务或依赖 http 进行通信。
工具使用针对未知二进制文件 ( suspicious.exe) 运行 capa,该工具报告该程序可以发送 http 请求、通过 xor 和 base64 解码数据、安装服务并生成新进程。总而言之,这让我们认为这suspicious.exe可能是一个持久的后门。因此,我们的下一个分析步骤可能是在沙箱中运行suspicious.exe并尝试恢复命令和控制服务器。通过传递-vv标志(非常详细),capa 准确报告在哪里找到了这些功能的证据。这至少有两个原因: 它有助于解释为什么我们应该相信结果,并使我们能够验证结论,并且 它显示了经验丰富的分析师可以使用 ida pro 研究二进制文件中的哪些位置 $ capa.exe suspicious.exe -vv...execute shell command and capture outputnamespace c2/shellauthor matthew.williams@mandiant.comscope functionatt&ck execution::command and scripting interpreter::windows command shell [t1059.003]references https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-startupinfoafunction @ 0x4011c0 and: match: create a process with modified i/o handles and window @ 0x4011c0 and: number: 257 = startf_usestdhandles | startf_useshowwindow @ 0x4012b8 or: number: 68 = startupinfo.cb (size) @ 0x401282 or: = api functions that accept a pointer to a startupinfo structure api: kernel32.createprocess @ 0x401343 match: create pipe @ 0x4011c0 or: api: kernel32.createpipe @ 0x40126f, 0x401280 optional: match: create thread @ 0x40136a, 0x4013ba or: and: os: windows or: api: kernel32.createthread @ 0x4013d7 or: and: os: windows or: api: kernel32.createthread @ 0x401395 or: string: cmd.exe @ 0x4012fd...
capa 使用一组规则来识别程序中的功能。这些规则很容易编写,即使对于逆向工程新手来说也是如此。通过编写规则,您可以扩展 capa 识别的功能。在某些方面,capa 规则是 openioc、yara 和 yaml 格式的混合。
以下是 capa 使用的规则示例:
rule: meta: name: hash data with crc32 namespace: data-manipulation/checksum/crc32 authors: - moritz.raabe@mandiant.com scope: function mbc: - data::checksum::crc32 [c0032.001] examples: - 2d3edc218a90f03089cc01715a9f047f:0x403cbd - 7d28cb106cb54876b2a5c111724a07cd:0x402350 # rtlcomputecrc32 - 7eff498de13cc734262f87e6b3ef38ab:0x100084a6 features: - or: - and: - mnemonic: shr - or: - number: 0xedb88320 - bytes: 00 00 00 00 96 30 07 77 2c 61 0e ee ba 51 09 99 19 c4 6d 07 8f f4 6a 70 35 a5 63 e9 a3 95 64 9e = crc32_tab - number: 8 - characteristic: nzxor - and: - number: 0x8320 - number: 0xedb8 - characteristic: nzxor - api: rtlcomputecrc32 下载链接:
链接:https://pan.quark.cn/s/01e6d73b416b
项目地址:https://github.com/mandiant/capa
盘点可穿戴设备未来发展方向
PLC的安装环境有什么要求
有源负载和静态负载的区别是什么?
大族激光在互动平台表示目前已接到订单!
工业化转型下的安浦鸣志正不断进步
恶意文件分析工具
锁相环路电路的作用
谷歌自动驾驶汽车已行驶超200万英里 但仍有重大缺失
电力监控与电能管理系统在苏州大型商业楼宇的应用-安科瑞贾林杨
解读锂电池的发展史,思考“未来电池”的创造
诺基亚X5评测 一款性价比较高的手机
【技术分享】Apollo3 SDK平台添加支持复旦微FM25Q128 SPI Flash的方法
共达地自研AutoML,实现AI算法自动化生产
语音通信,汉云通信自动通知,多维度精准预估到达率/接收率
英威腾光伏亮相英国Solar & Storage Live 2023
运营商重兵布局智慧家庭行业,探索智慧家庭发展模式
车用燃油的必知知识教程
嵌入式物联网开发平台的驱动力正在重塑行业产品
智能汽车市场对DRAM和NAND的解决方案
高通携手全志科技, 共同推动Qualcomm骁龙4GLTE平板电脑增长
capa 检测可执行文件中的功能。您针对 pe、elf、.net 模块或 shellcode 文件运行它,它会告诉您它认为该程序可以做什么。例如,它可能表明该文件是后门、能够安装服务或依赖 http 进行通信。
工具使用针对未知二进制文件 ( suspicious.exe) 运行 capa,该工具报告该程序可以发送 http 请求、通过 xor 和 base64 解码数据、安装服务并生成新进程。总而言之,这让我们认为这suspicious.exe可能是一个持久的后门。因此,我们的下一个分析步骤可能是在沙箱中运行suspicious.exe并尝试恢复命令和控制服务器。通过传递-vv标志(非常详细),capa 准确报告在哪里找到了这些功能的证据。这至少有两个原因: 它有助于解释为什么我们应该相信结果,并使我们能够验证结论,并且 它显示了经验丰富的分析师可以使用 ida pro 研究二进制文件中的哪些位置 $ capa.exe suspicious.exe -vv...execute shell command and capture outputnamespace c2/shellauthor matthew.williams@mandiant.comscope functionatt&ck execution::command and scripting interpreter::windows command shell [t1059.003]references https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/ns-processthreadsapi-startupinfoafunction @ 0x4011c0 and: match: create a process with modified i/o handles and window @ 0x4011c0 and: number: 257 = startf_usestdhandles | startf_useshowwindow @ 0x4012b8 or: number: 68 = startupinfo.cb (size) @ 0x401282 or: = api functions that accept a pointer to a startupinfo structure api: kernel32.createprocess @ 0x401343 match: create pipe @ 0x4011c0 or: api: kernel32.createpipe @ 0x40126f, 0x401280 optional: match: create thread @ 0x40136a, 0x4013ba or: and: os: windows or: api: kernel32.createthread @ 0x4013d7 or: and: os: windows or: api: kernel32.createthread @ 0x401395 or: string: cmd.exe @ 0x4012fd...
capa 使用一组规则来识别程序中的功能。这些规则很容易编写,即使对于逆向工程新手来说也是如此。通过编写规则,您可以扩展 capa 识别的功能。在某些方面,capa 规则是 openioc、yara 和 yaml 格式的混合。
以下是 capa 使用的规则示例:
rule: meta: name: hash data with crc32 namespace: data-manipulation/checksum/crc32 authors: - moritz.raabe@mandiant.com scope: function mbc: - data::checksum::crc32 [c0032.001] examples: - 2d3edc218a90f03089cc01715a9f047f:0x403cbd - 7d28cb106cb54876b2a5c111724a07cd:0x402350 # rtlcomputecrc32 - 7eff498de13cc734262f87e6b3ef38ab:0x100084a6 features: - or: - and: - mnemonic: shr - or: - number: 0xedb88320 - bytes: 00 00 00 00 96 30 07 77 2c 61 0e ee ba 51 09 99 19 c4 6d 07 8f f4 6a 70 35 a5 63 e9 a3 95 64 9e = crc32_tab - number: 8 - characteristic: nzxor - and: - number: 0x8320 - number: 0xedb8 - characteristic: nzxor - api: rtlcomputecrc32 下载链接:
链接:https://pan.quark.cn/s/01e6d73b416b
项目地址:https://github.com/mandiant/capa
盘点可穿戴设备未来发展方向
PLC的安装环境有什么要求
有源负载和静态负载的区别是什么?
大族激光在互动平台表示目前已接到订单!
工业化转型下的安浦鸣志正不断进步
恶意文件分析工具
锁相环路电路的作用
谷歌自动驾驶汽车已行驶超200万英里 但仍有重大缺失
电力监控与电能管理系统在苏州大型商业楼宇的应用-安科瑞贾林杨
解读锂电池的发展史,思考“未来电池”的创造
诺基亚X5评测 一款性价比较高的手机
【技术分享】Apollo3 SDK平台添加支持复旦微FM25Q128 SPI Flash的方法
共达地自研AutoML,实现AI算法自动化生产
语音通信,汉云通信自动通知,多维度精准预估到达率/接收率
英威腾光伏亮相英国Solar & Storage Live 2023
运营商重兵布局智慧家庭行业,探索智慧家庭发展模式
车用燃油的必知知识教程
嵌入式物联网开发平台的驱动力正在重塑行业产品
智能汽车市场对DRAM和NAND的解决方案
高通携手全志科技, 共同推动Qualcomm骁龙4GLTE平板电脑增长