EKFiddle 使用教程

EKFiddle 使用教程

EKFiddleYour Swiss Army knife to analyze malicious web traffic based on the popular Fiddler web debugger.项目地址:https://gitcode.com/gh_mirrors/ek/EKFiddle

项目介绍

EKFiddle 是一个基于 Fiddler Classic web debugger 的扩展，用于分析恶意网络流量。它提供了一系列高级功能，如正则表达式支持、YARA 支持、高级过滤器等，帮助研究人员更好地理解和分析恶意软件、漏洞利用套件和恶意流量。

项目快速启动

安装 Fiddler Classic

首先，下载并安装 Fiddler Classic：

https://www.telerik.com/fiddler

下载并安装 EKFiddle

下载 EKFiddle 扩展文件，并将其放入 Fiddler 的 Scripts 文件夹中：

%AppData%\Local\Programs\Fiddler\Scripts

启用 C# 脚本

启动 Fiddler，然后进入 Tools -> Options，在 Scripting 选项中，将默认（JScript.NET）更改为 C#。

下载 CustomRules.cs

根据你的操作系统将 CustomRules.cs 下载或克隆到适当的文件夹中：

• Windows (7/10): C:\Users\[username]\Documents\Fiddler2\Scripts\
• Linux: /home/[username]/Fiddler2/Scripts/
• Mac: /Users/[username]/Fiddler2/Scripts/

启动 Fiddler

启动 Fiddler 完成 EKFiddle 的安装。

应用案例和最佳实践

分析恶意流量

使用 EKFiddle 的高级过滤器和正则表达式功能，可以有效地分析和识别恶意流量。例如，使用正则表达式来匹配特定的恶意 URL 或域名。

// 示例正则表达式
string regex = @"evil\.com";
if (oSession.HostnameIs(regex)) {
    oSession["ui-color"] = "red";
}

自动化浏览任务

使用 EKFiddle 的 AutoBrowser 功能，可以自动化加载一系列 URL，并记录所有流量。

// 示例自动化浏览任务
string[] urls = { "http://example.com", "http://evil.com" };
foreach (string url in urls) {
    oSession.Navigate(url);
}

典型生态项目

FiddlerCore

FiddlerCore 是 Fiddler 的一个子项目，允许开发者在自己的应用程序中嵌入 Fiddler 的代理功能。这对于需要自定义网络流量分析的应用非常有用。

YARA

YARA 是一个用于恶意软件识别和分类的工具，EKFiddle 集成了 YARA 支持，可以更精确地识别和分类恶意流量。

Wireshark

Wireshark 是一个广泛使用的网络协议分析工具，EKFiddle 可以与 Wireshark 配合使用，通过导入 PCAP 文件来分析网络流量。

通过以上步骤和示例，您可以快速上手并充分利用 EKFiddle 的功能，进行高效的恶意流量分析。

EKFiddleYour Swiss Army knife to analyze malicious web traffic based on the popular Fiddler web debugger.项目地址:https://gitcode.com/gh_mirrors/ek/EKFiddle