usb3.0导入工具pe_自动化逆向辅助利器 Capa工具介绍

最新推荐文章于 2024-08-08 11:54:53 发布
最新推荐文章于 2024-08-08 11:54:53 发布
阅读量663 收藏
点赞数
文章标签: usb3.0导入工具pe

关于Capa工具

近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa

其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。

546bde29a35ba8b5b1c0e1ada9793a95.png

工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。

6763c3b67d43df7ff727ba73086abb7a.png

如何安装?

使用命令:

git clone--recurse-submodules 

https://github.com/fireeye/capa.git

下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测规则。

77c7984ad246f4818b578d0944903536.png

下载好后,使用命令:

pip install -e [path_to_capa]

进行安装,安装好后,就能开始使用Capa了。

使用演示

下面主要介绍其IDA插件的使用,IDA打开样本后,点击File->Script File加载ida_capa_explorer.py脚本。

P.S.该插件目前只适配于IDA7.2及以上版本。

4f549cbbb71219e3713a2964efaed03d.png

样本加载成功后,IDA会新增一个capa explorer窗口,该窗口会显示匹配上的规则,鼠标移到上面可以看到规则的内容。

P.S.本次实验使用的是BuleHero蠕虫样本

(0F606E3FC83F7E8B175DDCAA39517CDD)

cf72d66d02526b4835fd8f794d206f6c.png

双击规则的Address的值,IDA会自动跳转到恶意代码相应的位置,如下图,通过contain an embedded PE file规则,快速地定位到了样本中内嵌的PE文件。

94127b98ca3ea4fab2a566cdef1af076.png

勾上规则后,IDA会高亮显示对应的恶意代码段,从而方便逆向工程师进行分析。

e4d06429e01af01e0804578058634e55.png

规则的编写格式如下,第一个红框meta用于描述该规则的描述信息,第二个红框features就是用于匹配的逻辑规则,类似于yara规则,支持的类型有:api、string、bytes、mnemonic等。

(自动化提取yara规则的工具介绍可以查看文章:使用yarGen提取Linux恶意脚本特征)

78fdd11980c1298d22cd190ddc4c6767.png

了解规则的编写规范后,试着编写一个规则进行练手,如下规则仅用于演示。

可以识别出Lazarus组织的Dtrack后门。

722b9b19b0a76040f830a591b00cd46a.png

将该规则dtrack.yal放到capa/rules目录下,加载样本B5AB935D750BE8B5B7C9CF3B87C772CA,插件就能自动识别出该样本为Dtrack后门。

b8495bd90f3f347297e3348aaa1678c2.png

Capa的大致原理就是,提取样本的导入函数、字符串、汇编码,然后循环遍历规则进行匹配,实质上就是将逆向时手工筛选高危恶意代码的工作自动化,当然,对于一些高度混淆后的样本,建议先解混淆后再使用Capa进行分析。

9469b1a07f51cef08b3e3958a3f7987c.png

e842fea65a0bf4822f5a134c6baa02b9.png深信服千里目安全实验室扫描关注我们
weixin_39663593
关注
[系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解
杨秀璋的专栏
09-01 3441
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍2020 Coremail钓鱼邮件识别及分析内容。这篇文章是作者2022年参加清华大学、奇安信举办的DataCon比赛,主要是关于涉网FZ分析,包括恶意样本IOC自动化提取和攻击者画像分析两类题目。这篇文章来自L师妹的Writeup,经同意后分享给大家,推荐大家多关注她的文章,也希望对您有所帮助。
USB3.0导入工具PE环境下使用)
01-07
有些新电脑安装系统后鼠标键盘无法使用,在PE环境下运行该工具,重启电脑后。过一会鼠标键盘就可以正常使用
USB3.0驱动导入工具PE下使用)
08-13
适用于安装win7系统后USB3.0无效的情况,在WIN8/10 PE下运行此工具可为已安装的win7系统加入USB3.0驱动
USB3.0导入工具(请在PE下面使用).rar
05-29
USB3.0导入工具(请在PE下面使用).rar USB3.0导入工具(请在PE下面使用).rar
BlackHat大会上,BlackBerry宣布开源逆向工具PE Tree
systemino的博客
08-19 200
在8月3日举办的BlackHat大会上,BlackBerry宣布开源PE逆向工具——PE Tree。PE Tree是由BlackBerry 研究团队研发的使用pefile和PyQt5 来以树形查看PE文件的逆向工具。因为面向的是逆向工程师和社区,PE Tree还融合了HexRays IDA Pro反编译器的功能,可以查看PE结构、复制内存中的PE文件并执行导入重构。 概览 PE Tree是用python开发的,支持Windows、Linux和macOS 操作系统。奇热可以以独立应用安装和运行,也可以以I
USB3.0导入工具
09-29
USB3.0导入工具 适合一些老旧主板未携带3.0驱动的。本软件需要进入PE后使用
自动化逆向辅助利器 -- Capa工具介绍
systemino的博客
08-26 2015
概述 近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa,其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。 工具运行的结果如下,它显示了当前样本的恶意行为,奇热以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。 安装 使用命令:git clone --recurse-su
工具学习_CAPA a ATT&CK
最新发布
kitsch0x97的博客
08-08 425
CAPA 是一款用于恶意软件静态分析的开源工具,它能够提取和分析二进制文件的多种静态特征,包括导入表、导出表、字符串、API调用等。这些静态特征为分析师提供了恶意软件的行为模式、功能以及可能的攻击途径等关键信息。CAPA 的强大之处在于其可扩展性,用户可以自定义特征规则,以满足特定的分析需求。CAPA 是一个利用 YARA 规则来识别二进制可执行文件中的高级功能的开源项目,下图为其应用示例。
Worldwide_TFT_Capa.pdf
02-16
通过对“Worldwide_TFT_Capa.pdf”文件的分析可以看出,全球TFT-LCD生产线呈现出多元化和技术化的特点,不同国家和地区根据自身优势选择不同的技术和产品方向。随着技术的进步和市场需求的变化,TFT-LCD产业将继续...
sprint-capa-calc:用于计算前端和后端团队中的冲刺容量的工具
03-13
用于计算前端和后端团队中的冲刺容量的工具。 桌面应用程序是用JavaFX编写的,并使用GraalVM作为本机生成。 特征 与后端和前端团队一起为冲刺设置人日。 创建一个任务列表,并设置前端和后端团队的总工时。 根据...
win7usb3.0驱动注入工具.rar请在pe内运行支持ghost版本
06-23
冰封USB3.0导入工具,是一款可以在PE下注入USB3.0驱动的小工具,解决目前安装系统后USB3.0未驱动导致键盘鼠标不能用的尴尬问题。第一步:通过U盘启动到PE环境 然后双击U盘内的USB注入工具(任何UE盘启动盘PE都可以)2:注入完成后 有提示 3.然后重起电脑 第二次进入系统后 就会自动安装USB3.0驱动了
USB3.0注入工具
06-26
可以将WIN7系统中注入USB3.0的驱动 主要时为了兼容主板了USB
USB3.0pe驱动
04-22
有些ghost系统不带驱动,进系统后usb接口都不能使用,此工具可以在PE下可以直接安装USB3.0驱动,方便进系统后进一步操作
CAPA法规解读和经验分享-1.pdf
02-20
迈瑞的CAPA分析的经验、步骤和意义
usb3.0导入工具pe_从零开始(6)PE文件格式2—INT/EAT
weixin_39968640的博客
11-29 765
逆向学习从零开始(6)PE文件格式-2了解exe程序由哪些部分构成INT、IAT表学习回来了,继续更,前段时间感冒了,每天只想吃了睡不想学习,颓废上瘾~。钱钟书说,猪有没有人快乐,是不知道的,但是人有没有猪那样满足,是常看见的。可能我变了一段时间的猪,哈哈哈哈哈~本节是PE结构学习的最后一节,主要讲INT表和IAT表,十分重要的概念。因为高级PE中,IAT/EAT相关内容是运行时压缩器、...
冰封USB3.0导入工具
迷逝
04-20 4479
冰封USB3.0导入工具
usb3.0驱动注入工具_互联网技术 | 常用的ios手机自动化测试工具
weixin_39949297的博客
11-17 527
1. XCTestXCTest是苹果在iOS 7和Xcode5引入的一个简单而强大的测试框架,它的测试编写起来非常简单,并且遵循xUnit风格。XCTest的优点是与Xcode深度集成,有专门的Test导航栏,但因为受限于官方测试API,因此功能不是很丰富。2. UIAutomationUIAutomation是苹果提供的UI自动化测试框架,使用Javascript编写。基于UIAutomatio...
enum { ID = MSGID_CAPA_MSG_RSP };
04-02
This is a line of code written in C language that defines an enumeration constant named "ID" with a value equal to "MSGID_CAPA_MSG_RSP". In other words, the code creates a named constant "ID" that represents a specific value within a set of related values. This constant is assigned the value of "MSGID_CAPA_MSG_RSP", which is likely a message identifier or code used in a larger software system. The use of an enumeration constant can make code more readable and maintainable, as it allows developers to assign meaningful names to specific values rather than using hard-coded values throughout the code.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值