使用Uchihash处理恶意软件中的嵌入式哈希

最新推荐文章于 2022-09-22 17:12:34 发布
最新推荐文章于 2022-09-22 17:12:34 发布
阅读量280 收藏
点赞数
分类专栏: 安全 文章标签: git 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43977912/article/details/120727802
版权

关于Uchihash
Uchihash是一款功能强大的实用工具,可以帮助广大研究人员处理和分析嵌入在恶意软件之中的各种哈希,以节省恶意软件分析所需的时间。
Uchihash支持的分析内容如下:
动态导入API(尤其是Shellcode中的);
检测正在运行的进程(分析工具的进程,反分析机制);
检测虚拟机或反病毒工具(反分析机制);
Uchihash可以使用广大研究人员自己定义的哈希算法生成哈希,在已生成的哈希映射中搜索哈希列表,还可以生成一个IDAPython脚本,并用相应的值对哈希进行注释,以便研究人员对其进行分析。

工具安装
广大研究人员可以使用下列命令将该项目源码克隆至本地,并安装好依赖组件:
$ git clone https://github.com/N1ght-W0lf/Uchihash.git
$ pip install -r requirements.txt

工具使用
usage: uchihash.py [-h] [–algo ALGO] [–apis] [–keywords] [–list LIST] [–script SCRIPT] [–search SEARCH] [–hashes HASHES] [–ida]

optional arguments:
-h, --help show this help message and exit
–algo ALGO Hashing algorithm
–apis Calculate hashes of APIs
–keywords Calculate hashes of keywords
–list LIST Calculate hashes of your own word list
–script SCRIPT Script file containing your custom hashing algorithm
–search SEARCH Search a JSON File containing hashes mapped to words
–hashes HASHES File containing list of hashes to search for
–ida Generate an IDAPython script to annotate hash values

Examples:
* python uchihash.py --algo crc32 --apis
* python uchihash.py --algo murmur3 --list mywords.txt
* python uchihash.py --search hashmap.txt --hashes myhashes.txt
参数选项
–algo: 其中一个可用的哈希算法
–apis: 对一个Windows API列表计算哈希 (可参考data/apis_list.txt)
–keywords: 对恶意软件家族所使用的常见关键词计算哈希 (可参考data/keywords_list.txt)
–list : 自定义关键词列表,每个关键词单独占一行 (可参考examples/mywords.txt)
–script: 哈希函数必须由hashme() 调用,返回的值必须为十六进制格式0xDEADBEEF (可参考examples/custom_algo.txt)
–search: 待搜索文件格式必须为JSON格式 (可参考examples/searchme.txt)
–hashes: 每个哈希值单独占一行,必须为十六机制格式 (可参考examples/myhashes.txt)

项目地址
Uchihash:https://github.com/N1ght-W0lf/Uchihash

在这里插入图片描述

黄一113530
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
嵌入式算法17---SHA256哈希算法
嵌入式系统程序员
07-26 1401
单向散列算法之SHA256分析
恶意文件快速分析
莫慌的博客
09-30 1705
恶意程序 快速分析手法
机器学习方法检测恶意文件
zourzh123的专栏
08-12 6913
1. 恶意文件的传统检测方法    恶意文件检测在机器学习方法流行之前,一直是杀毒引擎的黑箱技术,很少为外界所周知。对于一般粗浅的应用者而言,最简单的做法是有两种:     1. 寻找各种开源的病毒库或者威胁情报网站,收集恶意文件的MD5值,作为黑名单使用。     2. 同时集成各种知名的杀毒软件或者沙箱,然后保存每个杀毒软件或沙箱对恶意文件的执行结果,然后综合所有的执行结果做综合判定:设...
如何获取散列哈希值?sha256在线生成工具,这一个就够用
m0_69916115的博客
06-17 4694
sha256在线生成工具(md5.cn)这个平台还有在线批量解密的功能,无论多庞大的数据,我们都能批量处理,极大的提高了工作效率,该功能也受到多数用户的喜欢。
【总结】恶意软件及反病毒技术
dyslhl的博客
09-22 1539
恶意软件及反病毒技术
Uchihash:一个处理恶意软件嵌入式哈希的小实用程序
05-11
乌奇哈什Uchihash是一个小型实用程序,可以节省恶意软件分析师的时间来处理用于各种用途的嵌入式哈希值,例如: 动态导入API(尤其是在shellcode) 检查分析人员使用的运行过程(反分析) 检查VM或防病毒工件(防...
WindowsAPIhash:恶意软件使用的Windows API哈希
05-17
在WindowsAPIhash-master这个压缩包,可能包含了一个项目或工具,用于收集、分析或者识别恶意软件使用的API哈希。这个项目可能包括以下部分: 1. 数据库:一个包含已知API哈希的数据库,可能由已分析的恶意软件...
嵌入式系统软件设计的数据结构
12-02
本文将深入探讨嵌入式软件设计的数据结构及其应用。 首先,我们要理解数据结构的基本概念。数据结构是一种组织和存储数据的方式,它不仅考虑了数据的物理存储,还考虑了数据之间的逻辑关系。常见的数据结构包括...
嵌入式cpu评分软件coremak在stm32上的移植与使用
04-26
CoreMark是一款广泛使用的基准测试软件,用于衡量嵌入式CPU的性能。本教程将详细介绍如何在STM32微控制器上移植并运行CoreMark,以及如何解读和打印测试结果。 首先,STM32是由意法半导体(STMicroelectronics)...
哈希算法在python的调用代码实例
最新发布
04-30
在Python,除了内置的`hash()`函数,还可以使用第三方库如`hashlib`来实现更高级别的哈希算法,如MD5和SHA系列: ```python import hashlib data = "Hello, World!" md5_hash = hashlib.md5(data.encode('utf-8'...
Hash函数经典用法
热门推荐
sunjunior的专栏
05-28 1万+
撰写这篇文章之前,先牢骚几句。程序员除了数据结构与算法,什么也不属于自己---记得哪个NB人物曾经说过这样的话。的确,程序员水平高低如何,很大程度上取决于基本功是否扎实。高级程序员与普通码农的区别在我看来就是对这些基础知识是否做到了运用自如。许多程序员开发程序也是简单地调用已有系统库,或者第三方组件,写写简单的hello world或者if...else之类的程序,这样下去其个人竞争优势逐渐散失,
流量分析
chanbeng5693的博客
08-02 612
分 析 报 告数据包: LAN SEGMENT属性:IP范围:10.1.75.0/24(10.1.75.0到10.1.75.255)网关IP:10.1.75.1广播IP:10.1.75.255域控制器(DC):PixelShine-DC,10.1.75.4域名:pixelshine.net 需求: 说明这种感染的时间和日期。确定受感染的Windows客户端的IP地址。确定受感染的Win...
使用Windows自带命令校验文件哈希
末初的CSDN博客
05-03 6757
Certutil是一个windows预装的CLI程序,主要作用是转储和显示证书颁发机构(CA),配置信息,证书服务, CA 组件的备份和还原以及验证证书、密钥对和证书链,它作为证书服务的一部分安装。可用于校验文件MD5、SHA1、SHA256,下载恶意文件和免杀。 这里记录如何使用这个程序校验文件,网上很多资源的下载很多都会提供文件的md5,SHA256等等之类的哈希值,便于下载者校验文件是否...
计算文件的SHA256哈希
J6wuli的博客
09-26 2304
#include <iostream> #include <openssl/sha.h> #include <string> #include <string.h> #include <vector> #include <fstream> using namespace std; std::vector<char> readfile(const char* filename) { std::vector<char
合天恶意流量分析五
GrapeSour的博客
07-12 169
任务 感染日期/时间 谁被感染(IP 地址、主机名、MAC 地址和用户帐户名) 涉及哪些恶意软件 这种感染的可能来源 与此感染相关的指标(IP 地址、域、URL 和文件哈希,如果有) mac地址 00:30:67:f1:2d:63 通过查询nbns流量得到 主机名 ...
文件hash值校验
dreamnow1201的专栏
06-16 6112
在互联网下载软件或其它文件时,经常需要验证,下载的文件是否被恶意篡改过,需要在本机计算下载文件的hash值,与官方提供的hash值进行比较。hash的计算不需要添加额外的软件,Windows系统本身便具有这样的工具。打开cmd,执行以下命令即可。certutil -hashfile yourfilename.ext MD5certutil -hashfile yourfilename.ext S...
编写高质量代码改善C#程序的157个建议——建议115:通过HASH来验证文件是否被篡改...
weixin_30478923的博客
08-22 140
建议115:通过HASH来验证文件是否被篡改 MD5算法作为一种最通用的HASH算法,也被广泛用于文件完整性的验证上。文件通过MD5-HASH算法求值,总能得到一个固定长度的MD5值。虽说MD5是一种压缩算法,以致可能存在多个样本空间会得到相同目标字符串的情况,但是这种概率很小。一个1GB的文件,哪怕只改动1字节的内容,得到的MD5值也会完全不同。 示例代码: stat...
Windows自带渗透工具Certutil介绍(免杀、哈希计算、md5、sha256、下载文件、base64编码)
墨痕诉清风的博客
01-07 6439
目录 Certutil 环境 编码 解码 散列 下载 系统错误代码 使用Certutil进行渗透测试 提交恶意可执行文件 提交恶意 DLL 编码(免杀) 有效载荷可以被编码或加密,以避免被检测(免杀)。 Certutil 是 Windows 操作系统上预装的工具,可用于 校验文件MD5、SHA1、SHA256,下载恶意文件和免杀。 本文仅供学习使用,请勿用于非法操作,后果与作者无关。 下面,将介绍它在 Windows 渗透测试的作用。 Certutil Certutil
Ipa-medit:针对重签名IPA的内存搜索和修复工具
weixin_43977912的博客
10-09 5159
关于Ipa-medit Ipa-medit是一款针对重签名IPA的内存搜索和修复工具,该工具可以在不越狱的情况下使用,主要针对的是移动端游戏安全测试领域。 内存修改是游戏领域最容易实现作弊的方法了,它也是安全测试需要重点检查的项目之一。当然了,社区还有其他的一些作弊工具可以使用,比如说GameGem和iGameGuardian等等。但是,现在还没有支持未越狱设备并且带有CUI的工具,因此我们开发出了Ipa-medit,广大研究人员可以将其当作安全测试工具来使用。 工具要求 macOS:需要先安装好有效的
perl 某种格式文本循环处理使用动态多维哈希
05-24
Perl使用动态多维哈希可以很方便地处理某种格式的文本。下面是一个示例代码,可以将以tab分隔的文本文件转换成哈希: ```perl #!/usr/bin/perl use strict; use warnings; my %hash; while () { chomp; my @...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值