Cách dùng Qu1cksc0pe để phân tích phần mềm độc hại

Qu1cksc0pe là công cụ phân tích mã nguồn Windows, Linux, OSX, file exe và cả Apk. Nếu bạn đam mê kỹ thuật dịch ngược hoặc muốn phân tích xem một file có an toàn hay không trước khi cài đặt, Qu1cksc0pe sẽ phân tích nhanh chóng cho bạn chỉ với vài lệnh đơn giản.

Các tính năng của Qu1cksc0pe

Qu1cksc0pe được viết bằng Python nên khá dễ sử dụng, bạn chỉ cần một file cần phân tích và máy tính đã được cài sẵn python. Các tính năng của phần mềm này sẽ giúp bạn biết được:

Những tệp DLL nào được sử dụng.
Chức năng và API.
Các Sections và segments
URL, địa chỉ IP và email.
Quyền của Android.
Phần mở rộng tệp và tên của chúng.

Qu1cksc0pe nhằm mục đích lấy thêm thông tin về các tệp đáng ngờ và giúp người dùng nhận ra tệp đó có khả năng gì.

Cách cài đặt Qu1cksc0pe

Trước tiên bạn cần tải và cài đặt Qu1cksc0pe về máy tính. Trên linux bạn có thể dùng lệnh:

git clone https://github.com/CYB3RMX/Qu1cksc0pe.git

cd Qu1cksc0pe

Hoặc tải trực tiếp file .zip tại đây.

Sau đó cài thêm các module cần thiết: pip3 install -r requirements.txt. Các module này gồm:

puremagic=> Phân tích hệ điều hành
androguard=> Phân tích file APK.
apkid=> Kiểm tra Obfuscators, Anti-Disassembly, Anti-VM và Anti-Debug.
prettytable=> tạo bảng cho kết quả
tqdm=> Hoạt ảnh trên thanh tiến trình.
colorama=>Tạo màu cho kết quả đầu ra
oletools=> Phân tích Macro VBA.
pefile=> Thu thập tất cả thông tin từ các tệp PE.
spacy=> Xử lý ngôn ngữ tự nhiên để phân tích chuỗi.
quark-engine=> Trích xuất địa chỉ IP và URL từ tệp APK.
pyaxmlparser=> Thu thập thông tin từ các tệp APK mục tiêu.
yara-python=> Quét thư viện Android với quy tắc Yara.
capstone=> Giải mã nhị phân.

Bạn có thể cung cấp thêm một số thông tin để quá trình dịch ngược được tốt hơn:

Bổ sung API Key của VirusTotal: https://virustotal.com
Cài thêm Binutils: sudo apt-get install binutils
Cài thêm ExifTool: sudo apt-get install exiftool
Cài thêm Strings: sudo apt-get install strings

Cuối cùng là bước cài đặt Qu1cksc0pe

sudo python3 qu1cksc0pe.py --install

Cách sử dụng Qu1cksc0pe để phân tích phần mềm độc hại

Để phân tích mã nguồn một file hoặc dữ liệu xem có độc hại hay không, bạn copy file cần phần tích vào chung thư mục của Qu1cksc0pe và dùng 1 trong các lệnh dưới đây :

Phân tích bình thường:

python3 qu1cksc0pe.py --file filename.exe --analyze

Phân tích nhiều file cùng lúc:

python3 qu1cksc0pe.py --multiple FILE1 FILE2 ...

Hash scan:

python3 qu1cksc0pe.py --file filename --hashscan

Folder scan:

Có 2 tham số:

–hashscan
–packer

python3 qu1cksc0pe.py --folder FOLDER --hashscan

VirusTotal:

python3 qu1cksc0pe.py --file suspicious_file --vtFile

Document scan – Phân tích file văn bản có mã độc không:

python3 qu1cksc0pe.py --file filename_document --docs

Programming language detection – Kiểm tra ngôn ngữ:

python3 qu1cksc0pe.py --file suspicious_executable --lang

Domain:

python3 qu1cksc0pe.py --file suspicious_file --domain