Qu1cksc0pe:多合一恶意软件分析工具
关于Qu1cksc0pe
Qu1cksc0pe是一款功能强大的多合一恶意软件分析工具,该工具可以帮助广大研究人员分析Windows、Linux和macOS平台下的可执行文件以及APK文件等。Qu1cksc0pe可以给分析人员提供下列信息:
· 可执行文件或应用程序使用了哪些DLL文件; · 包含的功能函数和API接口; · 数据字段; · URL、IP地址和电子邮件信息; · Android应用权限; · 文件扩展名和文件名称; · 其他
Qu1cksc0pe的主要功能就是给广大安全分析人员提供尽可能多地关于可疑文件的信息,并帮助用户了解目标文件的具体功能特性。
工具下载&安装
由于Qu1cksc0pe基于Python 3开发,因此我们首先要在本地主机上安装并配置好Python 3环境。接下来,使用下列命令将该项目源码克隆至本地:
git clone https://github.com/CYB3RMX/Qu1cksc0pe.git工具配置
Qu1cksc0pe所需的Python模块如下:
· puremagic · androguard · apkid · prettytable · tqdm · colorama · oletools · pefile · quark-engine · pyaxmlparser · yara-python · prompt_toolkit · frida
我们可以使用下列命令安装该工具所需的Python模块:
pip3 install -r requirements.txt获取其他的依赖参数:
VirusTotal API密钥:
https://virustotal.comBinutils:
sudo apt-get install binutilsExifTool:
sudo apt-get install exiftoolStrings:
sudo apt-get install strings
工具使用
python3 qu1cksc0pe.py --file suspicious_file --analyze扫描参数
普通分析
多文件分析
python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...
Frida脚本动态指令(Android应用程序)
python3 qu1cksc0pe.py --runtime哈希扫描
python3 qu1cksc0pe.py --file suspicious_file --hashscan
文件夹扫描
支持的参数:
--hashscan
--packer
python3 qu1cksc0pe.py --folder FOLDER --hashscan
VirusTotal
报告内容:
威胁类型
检测结果
CrowdSourced IDS报告
python3 qu1cksc0pe.py --file suspicious_file --vtFile文档扫描
python3 qu1cksc0pe.py --file suspicious_document --docs
编程语言检测
python3 qu1cksc0pe.py --file suspicious_executable --lang
交互式Shell
python3 qu1cksc0pe.py --console
域名检测
python3 qu1cksc0pe.py --file suspicious_file --domain工具运行截图
项目地址
https://github.com/CYB3RMX/Qu1cksc0pe
参考资料
https://github.com/Ch0pin/
https://codeshare.frida.re/browse
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-12-13,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
Elasticsearch Service
腾讯云 Elasticsearch Service(ES)是云端全托管海量数据检索分析服务,拥有高性能自研内核,集成X-Pack。ES 支持通过自治索引、存算分离、集群巡检等特性轻松管理集群,也支持免运维、自动弹性、按需使用的 Serverless 模式。使用 ES 您可以高效构建信息检索、日志分析、运维监控等服务,它独特的向量检索还可助您构建基于语义、图像的AI深度应用。
腾讯云开发者
