Esta herramienta permite analizar estáticamente ejecutables Windows, Linux, OSx y también los archivos APK. Puedes obtener:
- Qué archivos DLL se utilizan.
- Funciones y API’s.
- Secciones y segmentos.
- URL’s, direcciones IP y correos electrónicos.
- Permisos de Android.
- Extensiones de archivos y sus nombres.
Qu1cksc0pe tiene como objetivo obtener aún más información sobre archivos sospechosos y ayuda al usuario a darse cuenta de lo que ese archivo es capaz de hacer.
- Uso:
python3 qu1cksc0pe.py --file suspicious_file --analyze
- Uso alternativo:
python3 qu1cksc0pe.py --file [PATH TO FILE] --analyze
Captura
Setup
Módulos Python necesarios:
puremagic
=> Analizando el sistema operativo objetivo.androguard
=> Analizando los archivos APK.prettytable
=> Bonitas salidas.fleep
=> Analizando los números mágicos del archivo de destino.tqdm
=> Animación de Progressbar.colorama
=> Salidas de colores.oletools
=> Analizando macros VBA.spacy
=> Procesamiento del lenguaje natural para el análisis de string.
Instalación de módulos Python:
pip3 install -r requirements.txt
Recogiendo otras dependencias:
- VirusTotal API Key:
https://virustotal.com
- Binutils:
sudo apt-get install binutils
- ExifTool:
sudo apt-get install exiftool
- Strings:
sudo apt-get install strings
Argumentos del Escáner
Análisis Normal:
python3 qu1cksc0pe.py --file suspicious_file --analyze
Análisis Múltiple:
python3 qu1cksc0pe.py --multiple FILE1 FILE2 …
Escáner Hash:
python3 qu1cksc0pe.py --file suspicious_file --hashscan
Múltiple Escaneo Hash:
python3 qu1cksc0pe.py --multihash FILE1 FILE2 …
VirusTotal:
Usar para –vtFile:
python3 qu1cksc0pe.py --file suspicious_file --vtFile
Usar para –vtUrl:
python3 qu1cksc0pe.py --vtUrl
Escaneo de carpetas
Escáner hash:
python3 qu1cksc0pe.py --folder SUSPICIOUS_FOLDER --hashscan
Archivos empaquetados:
python3 qu1cksc0pe.py --folder SUSPICIOUS_FOLDER --packer
Dominio
python3 qu1cksc0pe.py --file suspicious_file --domain
Información sobre las categorías
Registro
Esta categoría contiene funciones y cadenas sobre:
- Crear o destruir claves de registro.
- Cambiar las claves del registro y los logs del registro.
Archivo
Esta categoría contiene funciones y cadenas sobre:
- Crear/cambiar/infectar/eliminar archivos.
- Obtener información sobre el contenido de los archivos y los sistemas de archivos.
Red/Internet
Esta categoría contiene funciones y cadenas sobre:
- La comunicación de hosts maliciosos.
- Descargar archivos maliciosos.
- Enviar información sobre el equipo infectado y su usuario.
Procesos
Esta categoría contiene funciones y cadenas sobre:
- Creación/infección/terminación de procesos
- Manipulación de procesos.
Dll/Manipulación de recursos
Esta categoría contiene funciones y cadenas sobre:
- Manejar archivos DLL y los archivos de recursos de otro malware.
- Infectar y manipular archivos DLL.
Evasión/Bypassing
Esta categoría contiene funciones y cadenas sobre:
- Manipulación de las políticas de seguridad de Windows y eludir las restricciones.
- Detectar depuradores y hacer trucos evasivos.
Sistema/Persistencia
Esta categoría contiene funciones y cadenas sobre:
- Ejecutar comandos de sistema.
- Manipulación de archivos de sistema y opciones de sistema para obtener persistencia en los sistemas objetivo.
COMObject
Esta categoría contiene funciones y cadenas sobre:
- El sistema de modelos de objetos de componentes de Microsoft.
Criptografía
Esta categoría contiene funciones y cadenas sobre:
- Cifrar y descifrar archivos.
- Crear y destruir hashes.
Information Gathering
Esta categoría contiene funciones y cadenas sobre:
- Recopilar toda la información de los hosts del objetivo. Como estados de proceso, dispositivos de red, etc.
Keyboard/Keylogging
Esta categoría contiene funciones y cadenas sobre:
- Rastrear el teclado de una máquina infectada.
- Recopilación de información sobre el teclado de los objetivos.
- Gestionar los métodos de entrada, etc.
Gestión de Memoria
Esta categoría contiene funciones y cadenas sobre:
- Manipulación y uso de la memoria de las máquinas de objetivo.
Error: API rate limit exceeded for 216.246.112.50. (But here's the good news: Authenticated requests get a higher rate limit. Check out the documentation for more details.)