z9:一款功能强大的PowerShell恶意软件检测与分析工具

admin
admin
admin
102737
文章
87
评论
2023年11月14日00:11:23评论9 views字数 1908阅读6分21秒阅读模式
z9:一款功能强大的PowerShell恶意软件检测与分析工具


z9:一款功能强大的PowerShell恶意软件检测与分析工具


 关于z9 


z9是一款功能强大的PowerShell恶意软件检测与分析工,该工具可以帮助广大研究人员从PowerShell日志的事件记录中检测基于PowerShell实现的恶意软件组件。


 工具安装 


由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Sh1n0g1/z9.git




(向右滑动,查看更多





然后切换到项目目录中,使用pip工具和项目提供的requirements.txt安装该工具所需的其他依赖组件:


cd z9
pip install -r requirements.txt




(向右滑动,查看更多





 工具使用帮助 



usage: z9.py [-h] [--output OUTPUT] [-s] [--no-viewer] [--utf8] input
positional arguments:
  input                 输入文件路径options:
  -h, --help            显示工具帮助信息和退出
  --output OUTPUT, -o OUTPUT
                       输出文件路径
  -s, --static           启用静态分析代码
  --no-viewer           禁止在Web浏览器中打开JSON查看器
  --utf8                以UTF-8编码读取脚本文件




(向右滑动,查看更多





 工具使用 





分析事件日志


python z9.py <input file> -o <output json>
python z9.py <input file> -o <output json> --no-viewer




(向右滑动,查看更多





参数解析








参数命令




命令介绍








input file




从事件日志eventlog中导出的XML文件路径








-o output json




存储z9分析结果的文件名








--no-viewer




不打开查看器








命令参考样例


python z9.py utillogmwpsop.xml -o sample1.json




(向右滑动,查看更多







静态PowerShell文件分析


python z9.py <input file> -o <output json> -s
python z9.py <input file> -o <output json> -s --utf8
python z9.py <input file> -o <output json> -s --no-viewer




(向右滑动,查看更多





注意:该方法只会对目标执行静态分析,在遇到样本代码经过模糊处理的情况时,可能提供的结果不一定正确。





参数解析








参数命令




命令介绍








input file




要分析的PowerShell文件路径








-o output json




存储z9分析结果的文件名








-s




执行静态分析








--utf8




当输入文件编码为UTF-8时需要指定该参数








--no-viewer




不打开查看器











命令参考样例


python z9.py malware.ps1 -o sample1.json -s




(向右滑动,查看更多)





 如何准备XML文件?





启用PowerShell日志记录




1、右键点击并整合该注册表文件:https://github.com/Sh1n0g1/z9/blob/main/util/enable_powershell_logging.reg;


2、重启PC;


3、所有的PowerShell执行此时都会在事件日志中被记录;







将事件日志转储为XML




1、执行该批处理文件:https://github.com/Sh1n0g1/z9/blob/main/util/collect_psevent.bat


2、XML文件将会在util/log目录中被创建;


3、z9工具支持解析这些XML文件;







删除现有的事件日志




以“管理员权限“执行该批处理文件:https://github.com/Sh1n0g1/z9/blob/main/util/clear_psevent.bat







 许可证协议 





本项目的开发与发布遵循MIT开源许可证协议。





 项目地址 





z9:https://github.com/Sh1n0g1/z9


https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field


FreeBuf粉丝交流群招新啦!


在这里,拓宽网安边界


甲方安全建设干货;


乙方最新技术理念;


全球最新的网络安全资讯;


群内不定期开启各种抽奖活动;


FreeBuf盲盒、大象公仔......


扫码添加小蜜蜂微信回复“加群”,申请加入群聊


z9:一款功能强大的PowerShell恶意软件检测与分析工具



z9:一款功能强大的PowerShell恶意软件检测与分析工具



z9:一款功能强大的PowerShell恶意软件检测与分析工具



https://z9.shino.club/


z9:一款功能强大的PowerShell恶意软件检测与分析工具



z9:一款功能强大的PowerShell恶意软件检测与分析工具z9:一款功能强大的PowerShell恶意软件检测与分析工具



z9:一款功能强大的PowerShell恶意软件检测与分析工具



z9:一款功能强大的PowerShell恶意软件检测与分析工具







原文始发于微信公众号(FreeBuf):z9:一款功能强大的PowerShell恶意软件检测与分析工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月14日00:11:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   z9:一款功能强大的PowerShell恶意软件检测与分析工具http://cn-sec.com/archives/2202561.html

发表评论

匿名网友 填写信息