Qu1cksc0pe:多合一恶意软件分析工具
Qu1cksc0pe
Qu1cksc0pe是一款功能强大的多合一恶意软件分析工具,该工具可以帮助广大研究人员分析Windows、Linux和macOS平台下的可执行文件以及APK文件等。Qu1cksc0pe可以给分析人员提供下列信息:
可执行文件或应用程序使用了哪些DLL文件;包含的功能函数和API接口;数据字段;URL、IP地址和电子邮件信息;Android应用权限;文件扩展名和文件名称;其他
Qu1cksc0pe的主要功能就是给广大安全分析人员提供尽可能多地关于可疑文件的信息,并帮助用户了解目标文件的具体功能特性。
工具下载&安装
由于Qu1cksc0pe基于Python 3开发,因此我们首先要在本地主机上安装并配置好Python 3环境。接下来,使用下列命令将该项目源码克隆至本地:
git clone https://github.com/CYB3RMX/Qu1cksc0pe.git
工具配置
Qu1cksc0pe所需的Python模块如下:
puremagicandroguardapkidprettytabletqdmcoloramaoletoolspefilequark-enginepyaxmlparseryara-pythonprompt_toolkitfrida
我们可以使用下列命令安装该工具所需的Python模块:
pip3 install -r requirements.txt
获取其他的依赖参数
VirusTotal API密钥:
https://virustotal.com
Binutils:
sudo apt-get install binutils
ExifTool:
sudo apt-get install exiftool
Strings:
sudo apt-get install strings
工具使用
python3 qu1cksc0pe.py --file suspicious_file --analyze
扫描参数
正常分析
python3 qu1cksc0pe.py --file suspicious_file --analyze
多文件分析
python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...
Frida脚本动态指令(Android应用程序)
python3 qu1cksc0pe.py --runtime
哈希扫描
python3 qu1cksc0pe.py --file suspicious_file --hashscan
文件夹扫描
支持的参数:
- —hashscan
—packer
python3 qu1cksc0pe.py --folder FOLDER --hashscan
VirusTotal
报告内容:
威胁类型
- 检测结果
- CrowdSourced IDS报告
python3 qu1cksc0pe.py --file suspicious_file --vtFile
文档扫描
python3 qu1cksc0pe.py --file suspicious_document --docs
编程语言检测
python3 qu1cksc0pe.py --file suspicious_executable --lang
交互式Shell
python3 qu1cksc0pe.py --console
域名检测
python3 qu1cksc0pe.py --file suspicious_file --domain
工具运行截图
参考资料
https://github.com/Ch0pin/
https://codeshare.frida.re/browse
若有收获,就点个赞吧
0 人点赞
