Official VirusTotal Plugin for IDA Pro 7
该插件在IDA Pro右键菜单(反汇编和字符串窗口)中添加了一个新的“ VirusTotal”条目,使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin
当前的beta版本提供以下搜索选项:
搜索字节:它搜索所选区域中包含的字节。
搜索字符串:它搜索与在字符串窗口中选择的字符串相同的字符串。
搜索相似代码:标识当前选定区域中的内存偏移量或地址,并在搜索时忽略它们。
搜索相似代码(严格):与上面相同,但它也忽略当前所选区域中的所有常量。
搜索相似功能:与“相似代码”相同,但是您无需选择所有属于该功能的指令。 只需右键单击一条指令,它将自动检测功能边界,并选择当前功能的所有指令。
![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSearch code.gif)
使用VTGrep内容搜索来跟踪DTrack样本
作为该插件如何加快分析过程的示例,我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下,该恶意软件被用于攻击Kudankulam核电站(KKNPP- 印度)于2019年9月4日生效,但直到10月底才得到印度印度核电有限公司(NPCIL)的公开承认。
这不是DTrack示例第一次重用先前攻击中的代码。 的确,如果我们搜索字符串dkwero38oerA ^ t @#(VT智能查询:content:“ dkwero38oerA ^ t @#”),我们可以在VirusTotal中找到包含该字符串的79个样本,其中一些是DTrack样本。
![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSearch String.gif)
该字符串用作压缩包含文件和目录“ C:”的“ C.TMP”文件的密钥(每个连接的设备一个zip文件)。 还有另一个有趣的字符串(abcd @ 123),该字符串用于加密包zip文件。 在VirusTotal数据库中,此第二个字符串总共有九次出现。
此外,我们可以在VirusTotal数据库中查找类似的代码。 例如选择WinMain函数的代码
![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSelect function.gif)
我们可以采用另一种方法来查找相关样本。 我们可以搜索相同的字符串序列。 尽管生成的代码通常在编译之间进行更改,但是字符串在文件内的放置顺序相同。 查看用于收集有关当前IP地址,正在运行的进程和打开的端口的信息的字符串,
![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSelect bytes.gif)