usb3.0导入工具pe_自动化逆向辅助利器 Capa工具介绍

关于Capa工具

近日,FireEye开源了一个逆向辅助工具capa,项目地址为:https://github.com/fireeye/capa

其目的是自动化提取样本的高级静态特征,快速地告诉用户该样本做了哪些恶意操作,同时该工具还随同发布了对应的IDA插件,方便逆向分析员快速定位恶意代码。

546bde29a35ba8b5b1c0e1ada9793a95.png

工具运行的结果如下,它显示了当前样本的恶意行为,以及对应的ATT&CK向量,如:混淆绕过、系统信息探测、C&C连接、持久化驻留等。

6763c3b67d43df7ff727ba73086abb7a.png

如何安装?

使用命令:

git clone--recurse-submodules 

https://github.com/fireeye/capa.git

下载capa项目,其中包含了capa-rules子项目,该路径下包含了所有类型的检测规则。

77c7984ad246f4818b578d0944903536.png

下载好后,使用命令:

pip install -e [path_to_capa]

进行安装,安装好后,就能开始使用Capa了。

使用演示

下面主要介绍其IDA插件的使用,IDA打开样本后,点击File->Script File加载ida_capa_explorer.py脚本。

P.S.该插件目前只适配于IDA7.2及以上版本。

4f549cbbb71219e3713a2964efaed03d.png

样本加载成功后,IDA会新增一个capa explorer窗口,该窗口会显示匹配上的规则,鼠标移到上面可以看到规则的内容。

P.S.本次实验使用的是BuleHero蠕虫样本

(0F606E3FC83F7E8B175DDCAA39517CDD)

cf72d66d02526b4835fd8f794d206f6c.png

双击规则的Address的值,IDA会自动跳转到恶意代码相应的位置,如下图,通过contain an embedded PE file规则,快速地定位到了样本中内嵌的PE文件。

94127b98ca3ea4fab2a566cdef1af076.png

勾上规则后,IDA会高亮显示对应的恶意代码段,从而方便逆向工程师进行分析。

e4d06429e01af01e0804578058634e55.png

规则的编写格式如下,第一个红框meta用于描述该规则的描述信息,第二个红框features就是用于匹配的逻辑规则,类似于yara规则,支持的类型有:api、string、bytes、mnemonic等。

(自动化提取yara规则的工具介绍可以查看文章:使用yarGen提取Linux恶意脚本特征)

78fdd11980c1298d22cd190ddc4c6767.png

了解规则的编写规范后,试着编写一个规则进行练手,如下规则仅用于演示。

可以识别出Lazarus组织的Dtrack后门。

722b9b19b0a76040f830a591b00cd46a.png

将该规则dtrack.yal放到capa/rules目录下,加载样本B5AB935D750BE8B5B7C9CF3B87C772CA,插件就能自动识别出该样本为Dtrack后门。

b8495bd90f3f347297e3348aaa1678c2.png

Capa的大致原理就是,提取样本的导入函数、字符串、汇编码,然后循环遍历规则进行匹配,实质上就是将逆向时手工筛选高危恶意代码的工作自动化,当然,对于一些高度混淆后的样本,建议先解混淆后再使用Capa进行分析。

9469b1a07f51cef08b3e3958a3f7987c.png


e842fea65a0bf4822f5a134c6baa02b9.png深信服千里目安全实验室扫描关注我们
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值