Cách dùng Qu1cksc0pe để phân tích phần mềm độc hại

Qu1cksc0pe là công cụ phân tích mã nguồn Windows, Linux, OSX, file exe và cả Apk. Nếu bạn đam mê kỹ thuật dịch ngược hoặc muốn phân tích xem một file có an toàn hay không trước khi cài đặt, Qu1cksc0pe sẽ phân tích nhanh chóng cho bạn chỉ với vài lệnh đơn giản.

Các tính năng của Qu1cksc0pe

Qu1cksc0pe được viết bằng Python nên khá dễ sử dụng, bạn chỉ cần một file cần phân tích và máy tính đã được cài sẵn python. Các tính năng của phần mềm này sẽ giúp bạn biết được:

• Những tệp DLL nào được sử dụng.
• Chức năng và API.
• Các Sections và segments
• URL, địa chỉ IP và email.
• Quyền của Android.
• Phần mở rộng tệp và tên của chúng.

Qu1cksc0pe nhằm mục đích lấy thêm thông tin về các tệp đáng ngờ và giúp người dùng nhận ra tệp đó có khả năng gì.

Cách cài đặt Qu1cksc0pe

Trước tiên bạn cần tải và cài đặt Qu1cksc0pe về máy tính. Trên linux bạn có thể dùng lệnh:

git clone https://github.com/CYB3RMX/Qu1cksc0pe.git

cd Qu1cksc0pe

Hoặc tải trực tiếp file .zip tại đây.

Sau đó cài thêm các module cần thiết: pip3 install -r requirements.txt. Các module này gồm:

• puremagic=> Phân tích hệ điều hành
• androguard=> Phân tích file APK.
• apkid=> Kiểm tra Obfuscators, Anti-Disassembly, Anti-VM và Anti-Debug.
• prettytable=> tạo bảng cho kết quả
• tqdm=> Hoạt ảnh trên thanh tiến trình.
• colorama=>Tạo màu cho kết quả đầu ra
• oletools=> Phân tích Macro VBA.
• pefile=> Thu thập tất cả thông tin từ các tệp PE.
• spacy=> Xử lý ngôn ngữ tự nhiên để phân tích chuỗi.
• quark-engine=> Trích xuất địa chỉ IP và URL từ tệp APK.
• pyaxmlparser=> Thu thập thông tin từ các tệp APK mục tiêu.
• yara-python=> Quét thư viện Android với quy tắc Yara.
• capstone=> Giải mã nhị phân.

Bạn có thể cung cấp thêm một số thông tin để quá trình dịch ngược được tốt hơn:

• Bổ sung API Key của VirusTotal: https://virustotal.com
• Cài thêm Binutils: sudo apt-get install binutils
• Cài thêm ExifTool: sudo apt-get install exiftool
• Cài thêm Strings: sudo apt-get install strings

Cuối cùng là bước cài đặt Qu1cksc0pe

sudo python3 qu1cksc0pe.py --install

Cách sử dụng Qu1cksc0pe để phân tích phần mềm độc hại

Để phân tích mã nguồn một file hoặc dữ liệu xem có độc hại hay không, bạn copy file cần phần tích vào chung thư mục của Qu1cksc0pe và dùng 1 trong các lệnh dưới đây :

Phân tích bình thường:

python3 qu1cksc0pe.py --file filename.exe --analyze

Phân tích nhiều file cùng lúc:

python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...

Hash scan:

python3 qu1cksc0pe.py --file filename --hashscan

Folder scan:

Có 2 tham số:

• –hashscan
• –packer

python3 qu1cksc0pe.py --folder FOLDER --hashscan

VirusTotal:

python3 qu1cksc0pe.py --file suspicious_file --vtFile

Document scan – Phân tích file văn bản có mã độc không:

python3 qu1cksc0pe.py --file filename_document --docs

Programming language detection – Kiểm tra ngôn ngữ:

python3 qu1cksc0pe.py --file suspicious_executable --lang

Domain:

python3 qu1cksc0pe.py --file suspicious_file --domain

Thông tin các danh mục phân tích

Registry

Danh mục này chứa các hàm và chuỗi về:

• Tạo hoặc hủy khóa registry
• Thay đổi khóa registry và nhật ký registry

Tập tin

Danh mục này chứa các hàm và chuỗi về:

• Tạo/thay đổi/lây nhiễm/xóa tệp.
• Nhận thông tin về nội dung tệp và hệ thống tệp.

Mạng/Web

Danh mục này chứa các hàm và chuỗi về:

• Giao tiếp các máy chủ độc hại.
• Tải xuống các tệp độc hại.
• Gửi thông tin về máy bị nhiễm và người dùng của nó.

Tiến trình

Danh mục này chứa các hàm và chuỗi về:

• Tạo/lây nhiễm/kết thúc tiến trình.
• Thao tác các tiến trình.

DLL/Xử lý tài nguyên

Danh mục này chứa các hàm và chuỗi về:

• Xử lý các tệp DLL và các tệp tài nguyên của phần mềm độc hại khác.
• Lây nhiễm và thao túng các tệp DLL.

Khả năng ẩn náu

Danh mục này chứa các hàm và chuỗi về:

• Thao tác các chính sách bảo mật của Windows và bỏ qua các hạn chế.
• Phát hiện người gỡ lỗi và thực hiện các thủ thuật ẩn náu khỏi phần mềm diệt virus

Hệ thống

Danh mục này chứa các hàm và chuỗi về:

• Đang thực thi các lệnh hệ thống.
• Thao tác với các tệp hệ thống

COMObject

Danh mục này chứa các hàm và chuỗi về:

• Microsoft’s Component Object Model system

Mã hóa

Danh mục này chứa các hàm và chuỗi về:

• Mã hóa và giải mã tệp.
• Tạo và hủy băm.

Thu thập thông tin

Danh mục này chứa các hàm và chuỗi về:

• Thu thập tất cả thông tin từ các máy chủ đích. Như trạng thái quy trình, thiết bị mạng, v.v.

Bàn phím/Keylogging

Danh mục này chứa các hàm và chuỗi về:

• Theo dõi bàn phím của máy bị nhiễm.
• Thu thập thông tin về bàn phím
• Quản lý các phương thức nhập liệu, v.v.

Quản lý bộ nhớ

Danh mục này chứa các hàm và chuỗi về:

• Thao tác và sử dụng bộ nhớ máy đích.