Qu1cksc0pe Proyecto Anti-Malware de Código Abierto
Qu1cksc0pe Proyecto Anti-Malware de Código Abierto

Qu1cksc0pe: Proyecto “Anti-Malware” de Código Abierto

Esta herramienta permite analizar estáticamente ejecutables Windows, Linux, OSx y también los archivos APK. Puedes obtener:

  • Qué archivos DLL se utilizan.
  • Funciones y API’s.
  • Secciones y segmentos.
  • URL’s, direcciones IP y correos electrónicos.
  • Permisos de Android.
  • Extensiones de archivos y sus nombres.

Qu1cksc0pe tiene como objetivo obtener aún más información sobre archivos sospechosos y ayuda al usuario a darse cuenta de lo que ese archivo es capaz de hacer.

  • Uso:
python3 qu1cksc0pe.py --file suspicious_file --analyze
  • Uso alternativo:
python3 qu1cksc0pe.py --file [PATH TO FILE] --analyze

Captura

Captura Qu1cksc0pe
Captura Qu1cksc0pe

Setup

Módulos Python necesarios:

  • puremagic => Analizando el sistema operativo objetivo.
  • androguard => Analizando los archivos APK.
  • prettytable => Bonitas salidas.
  • fleep => Analizando los números mágicos del archivo de destino.
  • tqdm => Animación de Progressbar.
  • colorama => Salidas de colores.
  • oletools => Analizando macros VBA.
  • spacy => Procesamiento del lenguaje natural para el análisis de string.

Instalación de módulos Python

pip3 install -r requirements.txt

Recogiendo otras dependencias:

  • VirusTotal API Keyhttps://virustotal.com
  • Binutilssudo apt-get install binutils
  • ExifToolsudo apt-get install exiftool
  • Stringssudo apt-get install strings

Argumentos del Escáner

Análisis Normal:

python3 qu1cksc0pe.py --file suspicious_file --analyze
Análisis Normal

Análisis Múltiple:

python3 qu1cksc0pe.py --multiple FILE1 FILE2 …
Análisis Múltiple
Análisis Múltiple

Escáner Hash:

python3 qu1cksc0pe.py --file suspicious_file --hashscan
Escáner Hash
Escáner Hash

Múltiple Escaneo Hash:

python3 qu1cksc0pe.py --multihash FILE1 FILE2 …
Múltiple Escaneo Hash
Múltiple Escaneo Hash

VirusTotal:

Usar para –vtFile:

python3 qu1cksc0pe.py --file suspicious_file --vtFile

Usar para –vtUrl:

python3 qu1cksc0pe.py --vtUrl
VirusTotal
VirusTotal

Escaneo de carpetas

Escáner hash:

python3 qu1cksc0pe.py --folder SUSPICIOUS_FOLDER --hashscan

Archivos empaquetados:

python3 qu1cksc0pe.py --folder SUSPICIOUS_FOLDER --packer

Dominio

python3 qu1cksc0pe.py --file suspicious_file --domain

Información sobre las categorías

Registro

Esta categoría contiene funciones y cadenas sobre:

  • Crear o destruir claves de registro.
  • Cambiar las claves del registro y los logs del registro.

Archivo

Esta categoría contiene funciones y cadenas sobre:

  • Crear/cambiar/infectar/eliminar archivos.
  • Obtener información sobre el contenido de los archivos y los sistemas de archivos.

Red/Internet

Esta categoría contiene funciones y cadenas sobre:

  • La comunicación de hosts maliciosos.
  • Descargar archivos maliciosos.
  • Enviar información sobre el equipo infectado y su usuario.

Procesos

Esta categoría contiene funciones y cadenas sobre:

  • Creación/infección/terminación de procesos
  • Manipulación de procesos.

Dll/Manipulación de recursos

Esta categoría contiene funciones y cadenas sobre:

  • Manejar archivos DLL y los archivos de recursos de otro malware.
  • Infectar y manipular archivos DLL.

Evasión/Bypassing

Esta categoría contiene funciones y cadenas sobre:

  • Manipulación de las políticas de seguridad de Windows y eludir las restricciones.
  • Detectar depuradores y hacer trucos evasivos.

Sistema/Persistencia

Esta categoría contiene funciones y cadenas sobre:

  • Ejecutar comandos de sistema.
  • Manipulación de archivos de sistema y opciones de sistema para obtener persistencia en los sistemas objetivo.

COMObject

Esta categoría contiene funciones y cadenas sobre:

  • El sistema de modelos de objetos de componentes de Microsoft.

Criptografía

Esta categoría contiene funciones y cadenas sobre:

  • Cifrar y descifrar archivos.
  • Crear y destruir hashes.

Information Gathering

Esta categoría contiene funciones y cadenas sobre:

  • Recopilar toda la información de los hosts del objetivo. Como estados de proceso, dispositivos de red, etc.

Keyboard/Keylogging

Esta categoría contiene funciones y cadenas sobre:

  • Rastrear el teclado de una máquina infectada.
  • Recopilación de información sobre el teclado de los objetivos.
  • Gestionar los métodos de entrada, etc.

Gestión de Memoria

Esta categoría contiene funciones y cadenas sobre:

  • Manipulación y uso de la memoria de las máquinas de objetivo.

Error: API rate limit exceeded for 216.246.112.50. (But here's the good news: Authenticated requests get a higher rate limit. Check out the documentation for more details.)

My Cart Close (×)

Tu carrito está vacío
Ver tienda