freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Qu1cksc0pe:多合一恶意软件分析工具
2021-11-26 16:19:10

关于Qu1cksc0pe

Qu1cksc0pe是一款功能强大的多合一恶意软件分析工具,该工具可以帮助广大研究人员分析Windows、Linux和macOS平台下的可执行文件以及APK文件等。Qu1cksc0pe可以给分析人员提供下列信息:

可执行文件或应用程序使用了哪些DLL文件;

包含的功能函数和API接口;

数据字段;

URL、IP地址和电子邮件信息;

Android应用权限;

文件扩展名和文件名称;

其他

Qu1cksc0pe的主要功能就是给广大安全分析人员提供尽可能多地关于可疑文件的信息,并帮助用户了解目标文件的具体功能特性。

工具下载&安装

由于Qu1cksc0pe基于Python 3开发,因此我们首先要在本地主机上安装并配置好Python 3环境。接下来,使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CYB3RMX/Qu1cksc0pe.git

工具配置

Qu1cksc0pe所需的Python模块如下:

puremagic

androguard

apkid

prettytable

tqdm

colorama

oletools

pefile

quark-engine

pyaxmlparser

yara-python

prompt_toolkit

frida

我们可以使用下列命令安装该工具所需的Python模块:

pip3 install -r requirements.txt

获取其他的依赖参数:

VirusTotal API密钥:

https://virustotal.com

Binutils:

sudo apt-get install binutils

ExifTool:

sudo apt-get install exiftool

Strings:

sudo apt-get install strings

工具使用

python3 qu1cksc0pe.py --file suspicious_file --analyze

扫描参数

普通分析

多文件分析

python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...

Frida脚本动态指令(Android应用程序)

python3 qu1cksc0pe.py --runtime

哈希扫描

python3 qu1cksc0pe.py --file suspicious_file --hashscan

文件夹扫描

支持的参数:

--hashscan

--packer

python3 qu1cksc0pe.py --folder FOLDER --hashscan

VirusTotal

报告内容:

威胁类型

检测结果

CrowdSourced IDS报告

python3 qu1cksc0pe.py --file suspicious_file --vtFile

文档扫描

python3 qu1cksc0pe.py --file suspicious_document --docs

编程语言检测

python3 qu1cksc0pe.py --file suspicious_executable --lang

交互式Shell

python3 qu1cksc0pe.py --console

域名检测

python3 qu1cksc0pe.py --file suspicious_file --domain

工具运行截图

项目地址

Qu1cksc0pe:GitHub传送门

参考资料

https://github.com/Ch0pin/

https://codeshare.frida.re/browse

# 代码审计 # 恶意软件分析 # 代码分析 # 恶意软件检测
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录