自动化逆向辅助利器 -- Capa工具介绍

最新推荐文章于 2022-07-06 11:05:46 发布
最新推荐文章于 2022-07-06 11:05:46 发布
阅读量1.9k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/108241542
版权
本文介绍了FireEye开源的逆向辅助工具Capa,它能自动化提取样本的高级静态特征,帮助识别恶意操作。文章详细阐述了Capa的安装、IDA插件的使用,并通过实例演示了如何利用Capa进行恶意代码分析,包括规则的编写和应用,以提升逆向工程师的效率。
摘要由CSDN通过智能技术生成

概述

近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。

自动化逆向辅助利器 -- Capa工具介绍

工具运行的结果如下,它显示了当前样本的恶意行为,奇热以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。

自动化逆向辅助利器 -- Capa工具介绍

安装

使用命令:git clone --recurse-submodules https://github.com/fireeye/capa.git下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测规则

最低0.47元/天 解锁文章
systemino
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[系统安全] 四十五.恶意软件分析 (1)静态分析Capa经典工具的基本用法万字详解
杨秀璋的专栏
03-12 2407
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍恶意代码同源分析和BinDiff软件基础用法,这篇文章将详细讲解恶意代码静态分析经典工具Capa的基础用法,它是FireEye团队开源的工具,旨在自动化提取样本的高级静态特征,快速挖掘样本的恶意行为,同时支持IDA插件操作,方便安全人员快速定位恶意代码,且能与ATT&CK框架和MBC映射。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜。
安卓逆向环境搭建
zhu6201976的博客
01-25 413
工具安装相关教程链接:https://ke.yijincc.com/coursep-38.htm 1.JDK安装及配置 链接:https://pan.baidu.com/s/146I4vDJdz8YeR0OEqLS8xw 提取码:7h00 2.SDK环境配置 链接:https://pan.baidu.com/s/1A8rwqyw8Nn7p93Axqpll3A 提取码:cwv4 3.NDK环境配置 链接:https://pan.baidu.com/s/1GBFK...
【软件逆向-自动化逆向工具大全
07-06 2135
【软件逆向-自动化
逆向分析工具有哪些?
任浩的博客
01-23 4585
逆向分析工具介绍,来看看逆向分析的工具有哪些? 逆向分析工具呢在二进制代码分析的过程中是必不可少的,这些软件分析工具包括以下: 1、系统监控工具 2、反汇编器 3、调试器 4、和反汇编译器 系统监控工具用来监控,研究以及剖析 待逆向的程序,这是由于程序与外部世界的通信都要经过操作系统,系统监控工具可 以监控网络活动,文件访问,注册表访问等等一系列的软件运行活动。反汇编器足以 程序的可执行二进制代码为输入,生成包含整个或部分程序的汇编代码文本文件的程 序。 反汇编是一个与处理器相关的过程,反汇编器一般支持多种
逆向工具
lyzh04061135的专栏
11-19 972
windows下有一些逆向工具可以帮助,感兴趣的朋友分析已有的obj,lib;例如IDA、Win32Dasm、PECOFF 。某位博友,提出的方案:“通过IDA找到该函数在obj文件中的偏移量就可以了,记下这个偏移量后再用其它16进制编辑工具修改,例如WinHex,可以将从函数入口到返回指令之前都填充为nop指令,也可以直接将返回指令覆写到函数入口使其直接返回。 ”我觉得有一定的可行性。
逆向工程工具
04-29
有别于其他逆向工程工具, 这个是打包好的, 而且有图形界面, 操作简单,无需配置文件,直接运行即可 运行方式: 命令行进入文件目录下输入java -jar run.jar 即可
质量管理系统---有关CAPA系统的基本要素介绍XXXX416.pptx
10-12
质量管理系统---有关CAPA系统的基本要素介绍XXXX416.pptx
capa-rules:Capa规则的标准集合
03-31
这是规则的标准集合是自动识别程序功能的工具。 哲学 编写规则应该简单而有趣! 大型规则语料使社区中的每个人受益,我们鼓励各种贡献。 每当您在恶意软件中看到整洁的东西时,我们希望您考虑使用Capa规则来表达...
Bufete-de-abogados:Capa 8
02-16
标题中的"Bufete-de-abogados:Capa 8"似乎指的是一个法律事务所的项目,其中"Capa 8"可能是指项目的第八个阶段或者是一个特定的功能层。在这个上下文中,我们主要关注与PHP相关的知识,因为这是给定的标签。 PHP...
软件逆向工具
10-18
软件逆向动态分析工具OllyDBG_1.10
滴水的逆向工具
08-19
滴水的逆向工具dtdebug, 个人感觉很好用.
软件逆向分析工具集,个人收集
03-18
软件逆向分析工具 有加花工具,加壳工具,还有特征码的提取
android自动化逆向,Android SO自动化逆向探究
weixin_35709751的博客
05-26 316
原标题:Android SO自动化逆向探究 简介长期从事Android SO动态分析时,时常会做一些重复性较高的工作。例如,SO中的Java_com_xxx_yyy()等一系统与Java层桥接的方法,逆向它们时,通常需要做如下工作:IDA Pro载入SO,完成第一次的反编译。导入jni.h头文件,引入JNINativeInterface与JNIInvokeInterface结构体信息。设置Ja...
Android逆向(一)Android逆向工具(一)
热门推荐
zhaojun的博客
03-19 3万+
最近一周时间,在学习和研究Android逆向,接下来一段时间,写一系列Android逆向的博客,来总结和记录自己所掌握的知识,也希望为正在学习Android逆向的朋友带来一点帮助。
【请收藏】逆向工具清单
lixiaolevae的博客
07-16 1960
抓包 Charles https://www.charlesproxy.com/ mac端很舒服轻松的小花瓶,抓应用层Http(s)请求,是付费的,可寻找破解版 Fiddler windows端的“Charles", 抓应用层Http(s)请求。但不推荐使用,因为它无法导入客户端证书(p12、Client SSL Certificates),对于服务器校验客户端证书的情况无法Bypass WireShark https://www.wireshark.org/ 会话层抓包很方便,通常需要配合反编译找到协
网络协议自动化逆向工具开山鼻祖discoverer 分析
qq_40229814的博客
04-14 5221
本文系原创,转载请说明出处:信安科研人 也可关注公众号:信安科研人 原论文发表在2007年的USENIX上,链接如下:https://www.usenix.org/legacy/event/sec07/tech/full_papers/cui/cui.pdf 我看目前国内很少有对这个工具具体的实现细节进行分析,仅仅是提及这个工具是协议自动化逆向的开山鼻祖,因此出此文章。 文章目录简介一、概览多种协议之间的共同惯用语 简介 在当时的情况下,网络协议逆向的几个难点: 对所处理的网络流知之甚少,只有一个数据流
安卓逆向工具篇)
cuihua的博客
04-03 8790
安卓逆向
iOS逆向工具汇总
CoderJon的博客
01-08 4883
Reveal:查看任意app的UI结构 注:1.不越狱的手机,可以用Reveal来查看自己app的UI结构,不能查看其它app的结构。 2.越狱手机上可以查看任意app的UI结构。 IDA:反编译工具 从App Store下载的ipa都是加壳的,加壳的ipa需要先去除壳。可以使用clutch、dumpdecrypted等解密去壳。如果你有越狱手机可以直接从PP助手上下载ipa去壳的包。XC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值