Qu1cksc0pe：多合一恶意软件分析工具

admin

104853
文章

87
评论

2021年12月14日14:06:12评论197 views字数 1525阅读5分5秒阅读模式

Qu1cksc0pe：多合一恶意软件分析工具

关于Qu1cksc0pe

Qu1cksc0pe是一款功能强大的多合一恶意软件分析工具，该工具可以帮助广大研究人员分析Windows、Linux和macOS平台下的可执行文件以及APK文件等。Qu1cksc0pe可以给分析人员提供下列信息：

· 可执行文件或应用程序使用了哪些DLL文件；

· 包含的功能函数和API接口；

· 数据字段；

· URL、IP地址和电子邮件信息；

· Android应用权限；

· 文件扩展名和文件名称；

· 其他

Qu1cksc0pe的主要功能就是给广大安全分析人员提供尽可能多地关于可疑文件的信息，并帮助用户了解目标文件的具体功能特性。

工具下载&安装

由于Qu1cksc0pe基于Python 3开发，因此我们首先要在本地主机上安装并配置好Python 3环境。接下来，使用下列命令将该项目源码克隆至本地：

git clone https://github.com/CYB3RMX/Qu1cksc0pe.git

工具配置

Qu1cksc0pe所需的Python模块如下：

· puremagic

· androguard

· apkid

· prettytable

· tqdm

· colorama

· oletools

· pefile

· quark-engine

· pyaxmlparser

· yara-python

· prompt_toolkit

· frida

我们可以使用下列命令安装该工具所需的Python模块：

pip3 install -r requirements.txt

获取其他的依赖参数：

VirusTotal API密钥：

https://virustotal.com

Binutils：

sudo apt-get install binutils

ExifTool：

sudo apt-get install exiftool

Strings：

sudo apt-get install strings

工具使用

python3 qu1cksc0pe.py --file suspicious_file --analyze

扫描参数

普通分析

Qu1cksc0pe：多合一恶意软件分析工具

多文件分析

python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...

Qu1cksc0pe：多合一恶意软件分析工具

Frida脚本动态指令（Android应用程序）


python3 qu1cksc0pe.py --runtime

哈希扫描
python3 qu1cksc0pe.py --file suspicious_file --hashscan



文件夹扫描
支持的参数：




--hashscan--packerpython3 qu1cksc0pe.py --folder FOLDER --hashscan



VirusTotal
报告内容：
威胁类型
检测结果
CrowdSourced IDS报告




python3 qu1cksc0pe.py --file suspicious_file --vtFile



文档扫描
python3 qu1cksc0pe.py --file suspicious_document --docs



编程语言检测
python3 qu1cksc0pe.py --file suspicious_executable --lang



交互式Shell
python3 qu1cksc0pe.py --console



域名检测
python3 qu1cksc0pe.py --file suspicious_file --domain

工具运行截图


项目地址
https://github.com/CYB3RMX/Qu1cksc0pe
参考资料
https://github.com/Ch0pin/
https://codeshare.frida.re/browse




















精彩推荐









































原文始发于微信公众号（FreeBuf）：Qu1cksc0pe：多合一恶意软件分析工具