python3 qu1cksc0pe.py --file suspicious_file --analyzeSetup
Módulos de Python necessários:
puremagic=> Analisando OS alvo e números mágicos.androguard=> Analisando arquivos APK.apkid=> Verifique os ofuscadores, anti-desmontagem, anti-VM e anti-depuração.prettytable=> saídas bonitas.tqdm=> Animação da barra de progressocolorama=> Saídas Coloridasoletools=> Analisador de Macros VBA.pefile=> Coletando todas as informações dos arquivos PE.quark-engine=> Extraí endereços IP e URLs de arquivos APK.pyaxmlparser=> Coleta informações de arquivos APK de destino.yara-python=> Escaneamento de bibliotecas Android com regras Yaraprompt_toolkit=> Shell Interativo.
Instalação dos módulos do python: pip3 install -r requirements.txt
Das demais dependências:
VirusTotal API Key: https://virustotal.com
- Binutils:
sudo apt-get install binutils - ExifTool:
sudo apt-get install exiftool - Strings:
sudo apt-get install strings
Alerta:
Você deve especificar o caminhdo de instalação do binário jadx em Systems/Android/libScanner.conf
[Rule_PATH]
rulepath = /Systems/Android/YaraRules/
[Decompiler]
decompiler = JADX_BINARY_PATH <-- You must specify this.Instalação:
- Para instalar execute os seguintes comandos após baixar o qu1cks0pe :
Comando 0:sudo pip3 install -r requirements.txt
Comando 1:sudo python3 qu1cksc0pe.py --install
Argumentos do Scan
Analise Normal
Uso: python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...
Hash scan
Uso: python3 qu1cksc0pe.py --file suspicious_file --hashscan
Scan de Pastas
Argumentos Suportados:
--hashscan--packer
Uso: python3 qu1cksc0pe.py --folder FOLDER --hashscan
VirusTotal
Conteúdo do Report:
Threat CategoriesDetectionsCrowdSourced IDS Reports
Use com --vtFile: python3 qu1cksc0pe.py --file suspicious_file --vtFile
Scan de Documentos
Usage: python3 qu1cksc0pe.py --file suspicious_document --docs
Detecção de Linguaguem de Programação:
Uso: python3 qu1cksc0pe.py --console
Dominio:
Uso: python3 qu1cksc0pe.py --file suspicious_file --domain
Informações sobre as categorias
Registry
- - Criação ou destruição de chaves de registro.
- - Alterar chaves de registro e logs.
File
Esta categoria contém funções e strings sobre:
- - Criação / modificação / infecção / exclusão de arquivos.
- - Obtendo informações sobre o conteúdo do arquivo e sistemas de arquivos.
Esta categoria contém funções e strings sobre:
- - Comunicar-se com hosts maliciosos.
- - Baixando arquivos maliciosos.
- - Envio de informações sobre a máquina infectada e seu usuário.
Process
Esta categoria contém funções e strings sobre:
- - Criando / infectando / encerrando processos.
- - Processos de manipulação.
Dll/Resource Handling
Esta categoria contém funções e strings sobre:
- - Lidar com arquivos DLL e outros arquivos de recursos de malware.
- - Infectando e manipulando arquivos DLL.
Evasion/Bypassing
Esta categoria contém funções e strings sobre:
- - Manipulando as políticas de segurança do Windows e contornando as restrições.
- - Detectando depuradores e fazendo truques evasivos.
System/Persistence
Esta categoria contém funções e strings sobre:
- - Executando comandos do sistema.
- - Manipular arquivos e opções do sistema para obter persistência nos sistemas de destino.
COM Object
Esta categoria contém funções e strings sobre:
- - Sistema de Component Object Model da Microsoft.
Cryptography
Esta categoria contém funções e strings sobre:
- - Criptografar e descriptografar arquivos.
- - Criação e destruição de hashes.
Information Gathering
Esta categoria contém funções e strings sobre:
- - Coletando informações de hosts de destino, como estados de processo, dispositivos de rede, etc.
Keyboard/Keylogging
Esta categoria contém funções e strings sobre:
- - Rastreando o teclado da máquina infectada.
- - Coletando informações sobre o teclado de alvos.
- - Gerenciando métodos de entrada, etc.
Memory Management
Esta categoria contém funções e strings sobre:
- - Manipulando e usando a memória das máquinas alvo.
Nenhum comentário:
Postar um comentário