Qu1cksc0pe là công cụ phân tích mã nguồn Windows, Linux, OSX, file exe và cả Apk. Nếu bạn đam mê kỹ thuật dịch ngược hoặc muốn phân tích xem một file có an toàn hay không trước khi cài đặt, Qu1cksc0pe sẽ phân tích nhanh chóng cho bạn chỉ với vài lệnh đơn giản.
Các tính năng của Qu1cksc0pe
Qu1cksc0pe được viết bằng Python nên khá dễ sử dụng, bạn chỉ cần một file cần phân tích và máy tính đã được cài sẵn python. Các tính năng của phần mềm này sẽ giúp bạn biết được:
- Những tệp DLL nào được sử dụng.
- Chức năng và API.
- Các Sections và segments
- URL, địa chỉ IP và email.
- Quyền của Android.
- Phần mở rộng tệp và tên của chúng.
Qu1cksc0pe nhằm mục đích lấy thêm thông tin về các tệp đáng ngờ và giúp người dùng nhận ra tệp đó có khả năng gì.
Cách cài đặt Qu1cksc0pe
Trước tiên bạn cần tải và cài đặt Qu1cksc0pe về máy tính. Trên linux bạn có thể dùng lệnh:
git clone https://github.com/CYB3RMX/Qu1cksc0pe.git
cd Qu1cksc0pe
Hoặc tải trực tiếp file .zip tại đây.
Sau đó cài thêm các module cần thiết: pip3 install -r requirements.txt. Các module này gồm:
- puremagic=> Phân tích hệ điều hành
- androguard=> Phân tích file APK.
- apkid=> Kiểm tra Obfuscators, Anti-Disassembly, Anti-VM và Anti-Debug.
- prettytable=> tạo bảng cho kết quả
- tqdm=> Hoạt ảnh trên thanh tiến trình.
- colorama=>Tạo màu cho kết quả đầu ra
- oletools=> Phân tích Macro VBA.
- pefile=> Thu thập tất cả thông tin từ các tệp PE.
- spacy=> Xử lý ngôn ngữ tự nhiên để phân tích chuỗi.
- quark-engine=> Trích xuất địa chỉ IP và URL từ tệp APK.
- pyaxmlparser=> Thu thập thông tin từ các tệp APK mục tiêu.
- yara-python=> Quét thư viện Android với quy tắc Yara.
- capstone=> Giải mã nhị phân.
Bạn có thể cung cấp thêm một số thông tin để quá trình dịch ngược được tốt hơn:
- Bổ sung API Key của VirusTotal: https://virustotal.com
- Cài thêm Binutils:
sudo apt-get install binutils - Cài thêm ExifTool:
sudo apt-get install exiftool - Cài thêm Strings:
sudo apt-get install strings
Cuối cùng là bước cài đặt Qu1cksc0pe
sudo python3 qu1cksc0pe.py --install
Cách sử dụng Qu1cksc0pe để phân tích phần mềm độc hại
Để phân tích mã nguồn một file hoặc dữ liệu xem có độc hại hay không, bạn copy file cần phần tích vào chung thư mục của Qu1cksc0pe và dùng 1 trong các lệnh dưới đây :
Phân tích bình thường:
python3 qu1cksc0pe.py --file filename.exe --analyze
Phân tích nhiều file cùng lúc:
python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...
Hash scan:
python3 qu1cksc0pe.py --file filename --hashscan
Folder scan:
Có 2 tham số:
- –hashscan
- –packer
python3 qu1cksc0pe.py --folder FOLDER --hashscan
VirusTotal:
python3 qu1cksc0pe.py --file suspicious_file --vtFile
Document scan – Phân tích file văn bản có mã độc không:
python3 qu1cksc0pe.py --file filename_document --docs
Programming language detection – Kiểm tra ngôn ngữ:
python3 qu1cksc0pe.py --file suspicious_executable --lang
Domain:
python3 qu1cksc0pe.py --file suspicious_file --domain
Thông tin các danh mục phân tích
Registry
Danh mục này chứa các hàm và chuỗi về:
- Tạo hoặc hủy khóa registry
- Thay đổi khóa registry và nhật ký registry
Tập tin
Danh mục này chứa các hàm và chuỗi về:
- Tạo/thay đổi/lây nhiễm/xóa tệp.
- Nhận thông tin về nội dung tệp và hệ thống tệp.
Mạng/Web
Danh mục này chứa các hàm và chuỗi về:
- Giao tiếp các máy chủ độc hại.
- Tải xuống các tệp độc hại.
- Gửi thông tin về máy bị nhiễm và người dùng của nó.
Tiến trình
Danh mục này chứa các hàm và chuỗi về:
- Tạo/lây nhiễm/kết thúc tiến trình.
- Thao tác các tiến trình.
DLL/Xử lý tài nguyên
Danh mục này chứa các hàm và chuỗi về:
- Xử lý các tệp DLL và các tệp tài nguyên của phần mềm độc hại khác.
- Lây nhiễm và thao túng các tệp DLL.
Khả năng ẩn náu
Danh mục này chứa các hàm và chuỗi về:
- Thao tác các chính sách bảo mật của Windows và bỏ qua các hạn chế.
- Phát hiện người gỡ lỗi và thực hiện các thủ thuật ẩn náu khỏi phần mềm diệt virus
Hệ thống
Danh mục này chứa các hàm và chuỗi về:
- Đang thực thi các lệnh hệ thống.
- Thao tác với các tệp hệ thống
COMObject
Danh mục này chứa các hàm và chuỗi về:
- Microsoft’s Component Object Model system
Mã hóa
Danh mục này chứa các hàm và chuỗi về:
- Mã hóa và giải mã tệp.
- Tạo và hủy băm.
Thu thập thông tin
Danh mục này chứa các hàm và chuỗi về:
- Thu thập tất cả thông tin từ các máy chủ đích. Như trạng thái quy trình, thiết bị mạng, v.v.
Bàn phím/Keylogging
Danh mục này chứa các hàm và chuỗi về:
- Theo dõi bàn phím của máy bị nhiễm.
- Thu thập thông tin về bàn phím
- Quản lý các phương thức nhập liệu, v.v.
Quản lý bộ nhớ
Danh mục này chứa các hàm và chuỗi về:
- Thao tác và sử dụng bộ nhớ máy đích.
Câu hỏi thường gặp
Qu1cksc0pe hỗ trợ phân tích loại file nào?
Qu1cksc0pe hỗ trợ phân tích mã nguồn trên Windows, Linux, OSX, file .exe và cả file .apk.
Tôi cần cài đặt những module nào để sử dụng Qu1cksc0pe hiệu quả?
Bạn cần cài đặt các module như: puremagic, androguard, apkid, prettytable, tqdm, colorama, oletools, pefile, spacy, quark-engine, pyaxmlparser, yara-python, capstone. Việc cài đặt các công cụ bổ sung như VirusTotal API key, Binutils, ExifTool và Strings sẽ giúp tăng cường khả năng phân tích.
Làm thế nào để sử dụng Qu1cksc0pe để quét một thư mục tìm kiếm file độc hại?
Sử dụng lệnh python3 qu1cksc0pe.py --folder [FOLDER] --hashscan hoặc python3 qu1cksc0pe.py --folder [FOLDER] --packer, thay thế [FOLDER] bằng đường dẫn thư mục cần quét.
