Golang
Windows Defender(winDef)
源码安装
git clone https://github.com/MultSec/MultCheck.git然后切换到项目根目录下,执行go build命令即可完成工具项目代码构建:
cd MultCheck/src## 64-bit$ GOOS=windows GOARCH=amd64 go build -o ../bin/multcheck_x64.exe main.go## 32-bit$ GOOS=windows GOARCH=386 go build -o ../bin/multcheck_x32.exe main.go发布版本安装
除此之外,广大研究人员也可以直接访问该项目的【Releases页面:https://github.com/MultSec/MultCheck/releases】下载对应系统架构的预编译MultCheck。
工具配置 针对自定义扫描器的配置文件是一个JSON文件,该文件的数据结构如下所示:
{"name": "AV name","cmd": "Scan Program (with full PATH) for scanning the target file.","args": "Scan arguments, use {{file}} as the file name to be scanned.","out": "A string present in positive detection but not in negative"}工具使用 MultCheck支持接收一个目标文件作为参数输入:
./multcheck <target_file>我们可以使用-scanner参数指定使用不同的内置扫描器:
./multcheck -scanner <scanner_name> <target_file>我们可以通过创建一个配置文件来添加自定义扫描器,然后通过-scanner参数将配置文件的路径传递给MultCheck即可:
./multcheck -scanner <path_to_config_file> <target_file>工具运行样例
PS C:UserspengreyDownloads> .multcheck.exe -scanner .windef.json C:UserspengreyDownloadsmimikatz.exe[>] Result: Malicious content found at offset: 0000012100000000 d1 27 71 71 a9 b6 71 52 69 63 68 70 a9 b6 71 00 |.'qq..qRichp..q.|00000010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 50 |...............P|00000020 45 00 00 64 86 06 00 63 39 5a 5e 00 00 00 00 00 |E..d...c9Z^.....|00000030 00 00 00 f0 00 22 00 0b 02 09 00 00 2c 0c 00 00 |....."......,...|PS C:UserspengreyDownloads> .multcheck.exe -scanner .windef.json C:UserspengreyDownloadsRubeus.exe[>] Result: Malicious content found at offset: 00048e3d00000000 65 74 5f 61 64 64 69 74 69 6f 6e 61 6c 5f 74 69 |et_additional_ti|00000010 63 6b 65 74 73 00 67 65 74 5f 74 69 63 6b 65 74 |ckets.get_ticket|00000020 73 00 73 65 74 5f 74 69 63 6b 65 74 73 00 53 79 |s.set_tickets.Sy|00000030 73 74 65 6d 2e 4e 65 74 2e 53 6f 63 6b 65 74 73 |stem.Net.Sockets|PS C:UserspengreyDownloads> .multcheck.exe -scanner .windef.json C:UserspengreyDownloadsmultcheck.exe[>] Result: Payload not detected.PS C:UserspengreyDownloads>工具运行截图
工具使用演示 演示视频: https://private-user-images.githubusercontent.com/55480558/307415831-b3105f45-a2d2-42e2-b938-5388f0dc000a.mp4?jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJnaXRodWIuY29tIiwiYXVkIjoicmF3LmdpdGh1YnVzZXJjb250ZW50LmNvbSIsImtleSI6ImtleTUiLCJleHAiOjE3MDk3O 许可证协议 本项目的开发与发布遵循GPL-3.0开源许可证协议。
项目地址 MultCheck: https://github.com/MultSec/MultCheck
原文始发于微信公众号(FreeBuf):如何使用MultCheck从静态分析结果中识别恶意字节数据
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论