• Official VirusTotal Plugin for IDA Pro 7


    Official VirusTotal Plugin for IDA Pro 7

    该插件在IDA Pro右键菜单(反汇编和字符串窗口)中添加了一个新的“ VirusTotal”条目,使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin

    当前的beta版本提供以下搜索选项:

    搜索字节:它搜索所选区域中包含的字节。

    搜索字符串:它搜索与在字符串窗口中选择的字符串相同的字符串。

    搜索相似代码:标识当前选定区域中的内存偏移量或地址,并在搜索时忽略它们。

    搜索相似代码(严格):与上面相同,但它也忽略当前所选区域中的所有常量。

    搜索相似功能:与“相似代码”相同,但是您无需选择所有属于该功能的指令。 只需右键单击一条指令,它将自动检测功能边界,并选择当前功能的所有指令。

    ![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSearch code.gif)

    使用VTGrep内容搜索来跟踪DTrack样本

    作为该插件如何加快分析过程的示例,我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下,该恶意软件被用于攻击Kudankulam核电站(KKNPP- 印度)于2019年9月4日生效,但直到10月底才得到印度印度核电有限公司(NPCIL)的公开承认。

    这不是DTrack示例第一次重用先前攻击中的代码。 的确,如果我们搜索字符串dkwero38oerA ^ t @#(VT智能查询:content:“ dkwero38oerA ^ t @#”),我们可以在VirusTotal中找到包含该字符串的79个样本,其中一些是DTrack样本。

    ![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSearch String.gif)

    该字符串用作压缩包含文件和目录“ C:”的“ C.TMP”文件的密钥(每个连接的设备一个zip文件)。 还有另一个有趣的字符串(abcd @ 123),该字符串用于加密包zip文件。 在VirusTotal数据库中,此第二个字符串总共有九次出现。
    此外,我们可以在VirusTotal数据库中查找类似的代码。 例如选择WinMain函数的代码

    ![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSelect function.gif)

    我们可以采用另一种方法来查找相关样本。 我们可以搜索相同的字符串序列。 尽管生成的代码通常在编译之间进行更改,但是字符串在文件内的放置顺序相同。 查看用于收集有关当前IP地址,正在运行的进程和打开的端口的信息的字符串,

    ![](https://potatso-1253210846.cos.ap-beijing.myqcloud.com//imgSelect bytes.gif)

  • 相关阅读:
    mysql
    mysql
    mysql
    mysql
    mysql
    mysql
    mysql
    mysql
    mysql
    为你的react项目添加路由
  • 原文地址:https://www.cnblogs.com/potatsoSec/p/12294795.html
Copyright © 2020-2023  润新知