aa-tools 项目使用教程

aa-tools 项目使用教程

aa-tools Artifact analysis tools by JPCERT/CC Analysis Center 项目地址: https://gitcode.com/gh_mirrors/aa/aa-tools

1. 项目目录结构及介绍

aa-tools 项目是由 JPCERT/CC Analysis Center 开发的一组用于分析恶意软件工件的工具。项目的目录结构如下：

aa-tools/
├── Deob_NOOPLDR.py
├── GobRAT-Analysis/
├── citadel_decryptor/
├── impfuzzy/
├── .gitignore
├── LICENSE.txt
├── README.md
├── adwind_string_decoder.py
├── apt17scan.py
├── cobaltstrikescan.py
├── datper_elk.py
├── datper_splunk.py
├── emdivi_postdata_decoder.py
├── emdivi_string_decryptor.py
├── redleavesscan.py
├── tscookie_data_decode.py
├── tscookie_decode.py
└── wellmess_cookie_decode.py

目录结构介绍

• Deob_NOOPLDR.py: IDA 插件工具，用于去混淆 NOOPLDR 恶意软件使用的 CFF。
• GobRAT-Analysis/: 用 Go 语言编写的 C2 命令仿真工具，支持分析 GobRAT 恶意软件。
• citadel_decryptor/: 用于 Citadel 恶意软件的数据解密工具。
• impfuzzy/: 用于模糊哈希分析的工具。
• .gitignore: Git 忽略文件配置。
• LICENSE.txt: 项目许可证文件。
• README.md: 项目介绍和使用说明。
• adwind_string_decoder.py: 用于解码 Adwind 恶意软件中的字符串的 Python 脚本。
• apt17scan.py: 用于检测 APT17 相关恶意软件并提取其配置的 Volatility 插件。
• cobaltstrikescan.py: 用于检测 Cobalt Strike Beacon 并提取其配置的 Volatility 插件。
• datper_elk.py: 用于检测 Datper 通信并将结果字段添加到 Elasticsearch 索引的 Python 脚本。
• datper_splunk.py: 用于检测 Datper 通信并将结果字段添加到 Splunk 索引的 Python 脚本。
• emdivi_postdata_decoder.py: 用于解码 Emdivi 的 post 数据的 Python 脚本。
• emdivi_string_decryptor.py: 用于解密 Emdivi 中的字符串的 IDAPython 脚本。
• redleavesscan.py: 用于检测 RedLeaves 并提取其配置的 Volatility 插件。
• tscookie_data_decode.py: 用于解密和解析 TSCookie 配置数据的 Python 脚本。
• tscookie_decode.py: 用于解密和解析 TSCookie 配置数据的 Python 脚本。
• wellmess_cookie_decode.py: 用于解码 WellMess 的 cookie 数据的 Python 脚本。

2. 项目启动文件介绍

aa-tools 项目没有统一的启动文件，每个工具都是一个独立的 Python 脚本或 Go 语言程序。要启动某个工具，只需运行相应的脚本或程序。例如：

python adwind_string_decoder.py

3. 项目配置文件介绍

aa-tools 项目没有统一的配置文件，每个工具的配置通常通过命令行参数或环境变量进行设置。例如，adwind_string_decoder.py 可能需要通过命令行参数传递输入文件路径：

python adwind_string_decoder.py -i input_file.txt

具体的配置方法请参考每个工具的 README 文件或相关文档。

aa-tools Artifact analysis tools by JPCERT/CC Analysis Center 项目地址: https://gitcode.com/gh_mirrors/aa/aa-tools