Official VirusTotal Plugin for IDA Pro 7

该插件在IDA Pro右键菜单(反汇编和字符串窗口)中添加了一个新的“ VirusTotal”条目,使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin

当前的beta版本提供以下搜索选项:

搜索字节:它搜索所选区域中包含的字节。

搜索字符串:它搜索与在字符串窗口中选择的字符串相同的字符串。

搜索相似代码:标识当前选定区域中的内存偏移量或地址,并在搜索时忽略它们。

搜索相似代码(严格):与上面相同,但它也忽略当前所选区域中的所有常量。

搜索相似功能:与“相似代码”相同,但是您无需选择所有属于该功能的指令。 只需右键单击一条指令,它将自动检测功能边界,并选择当前功能的所有指令。

使用VTGrep内容搜索来跟踪DTrack样本

作为该插件如何加快分析过程的示例,我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下,该恶意软件被用于攻击Kudankulam核电站(KKNPP- 印度)于2019年9月4日生效,但直到10月底才得到印度印度核电有限公司(NPCIL)的公开承认。

这不是DTrack示例第一次重用先前攻击中的代码。 的确,如果我们搜索字符串dkwero38oerA ^ t @#(VT智能查询:content:“ dkwero38oerA ^ t @#”),我们可以在VirusTotal中找到包含该字符串的79个样本,其中一些是DTrack样本。

该字符串用作压缩包含文件和目录“ C:”的“ C.TMP”文件的密钥(每个连接的设备一个zip文件)。 还有另一个有趣的字符串(abcd @ 123),该字符串用于加密包zip文件。 在VirusTotal数据库中,此第二个字符串总共有九次出现。
此外,我们可以在VirusTotal数据库中查找类似的代码。 例如选择WinMain函数的代码

我们可以采用另一种方法来查找相关样本。 我们可以搜索相同的字符串序列。 尽管生成的代码通常在编译之间进行更改,但是字符串在文件内的放置顺序相同。 查看用于收集有关当前IP地址,正在运行的进程和打开的端口的信息的字符串,

Official VirusTotal Plugin for IDA Pro 7的更多相关文章

  1. IDA Pro Disassembler 6.8.15.413 (Windows, Linux, Mac)

    IDA: What's new in 6.8 Highlights This is mainly a maintenance release, so our focus was on fixing b ...

  2. 安卓动态调试七种武器之孔雀翎 – Ida Pro

    安卓动态调试七种武器之孔雀翎 – Ida Pro 作者:蒸米@阿里聚安全 0x00 序 随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的.另外工具是死的,人是 ...

  3. 计算机病毒实践汇总六:IDA Pro基础

    在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索.敬请批评指正! 1. IDA使用 (1)搜索.下载并执行IDA Pro,对可执行程序lab05-01.dll进行装载,分别以图形 ...

  4. Ubuntu下安装IDA pro

    预备 由于IDA pro只能装在32位环境下,如果是64位Ubuntu,需要运行如下命令安装32位的必备库. sudo dpkg --add-architecture i386 sudo apt-ge ...

  5. How to create an anonymous IDA PRO database (.IDB)

    Source: http://www.0xebfe.net/blog/2013/01/13/how-to-create-an-anonymous-ida-pro-database-dot-idb/ P ...

  6. android调试系列--使用ida pro调试so

    1.工具介绍 IDA pro: 反汇编神器,可静态分析和动态调试. 模拟机或者真机:运行要调试的程序. 样本:阿里安全挑战赛第二题:http://pan.baidu.com/s/1eS9EXIM 2. ...

  7. android调试系列--使用ida pro调试原生程序

    1.工具介绍 IDA pro: 反汇编神器,可静态分析和动态调试. 模拟机或者真机:运行要调试的程序. 样本:自己编写NDK demo程序进行调试 2.前期准备 2.1  准备样本程序(假设已经配置好 ...

  8. [转]How to create an anonymous IDA PRO database (.IDB)

    Source: http://www.0xebfe.net/blog/2013/01/13/how-to-create-an-anonymous-ida-pro-database-dot-idb/ P ...

  9. IDA Pro使用技巧

    DA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window). IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头 ...

随机推荐

  1. 给定长度为 n 的整数数组 nums,其中 n > 1,返回输出数组 output ,其中 output[i] 等于 nums 中除 nums[i] 之外其余各元素的乘积。-----力扣

    给定长度为 n 的整数数组 nums,其中 n > 1,返回输出数组 output ,其中 output[i] 等于 nums 中除 nums[i] 之外其余各元素的乘积. 示例: 输入: [1 ...

  2. alpha week 1/2 Scrum立会报告+燃尽图 06

    此作业要求参见:https://edu.cnblogs.com/campus/nenu/2019fall/homework/9916 小组名称:“组长”组 组长:杨天宇 组员:魏新,罗杨美慧,王歆瑶, ...

  3. 「2015南阳CCPC D」金砖 解题报告

    金砖 Problem 有一个长度为L的板凳,可以放一排金砖,金砖不能重叠.特别的,摆放的金砖可以超出板凳,前提是必须保证该金砖不会掉下去,即该金砖的重心必须在板凳上. 每块金砖都一个长度和价值,且金砖 ...

  4. llinux重启、用户切换、注销命令

    一.指令 shutdown命令 shutdown -h now //立即关机 shutdown -h 2 //分钟后关机 shutdown -r now //立即重启 shutdown -r 1 // ...

  5. day5 函数和参数

    函数就是最基本的一种代码抽象的方式 定义一个函数使用def语句 def my_abs(x): if x >= 0: return x else: return -x 定义一个什么事也不做的空函数 ...

  6. MySQL之性能优化

    查看执行计划explain     1.1 Explain命令:它可以对select语句进行分析,并输出select执行的详细信息,以对开发人员针对性优化  1.2 Explain的用法:在selec ...

  7. 【转】7本免费的Java电子书和教程

    本文由 ImportNew - 唐小娟 翻译自 Javapapers.如需转载本文,请先参见文章末尾处的转载要求. 1. Thinking in Java (Third Edition) 本书的作者是 ...

  8. Android学习进度二

    在最新的Android开发中,Google已经使用了新的开发技术,即使用Jectpack来开发App.所以今天我主要学习了这方面的知识. Jetpack 是一套库.工具和指南,可帮助开发者更轻松地编写 ...

  9. Kettle中JavaScript内置函数说明

    本文链接:https://blog.csdn.net/u010192145/article/details/102220563 我们在使用JavaScript组件的时候,在左侧核心树对象栏中可以看到K ...

  10. Go Goosy Disk Docker Port Provisioners(GDP)

    小伙伴们,她们中出了一个叛徒,他是谁?是谁?是谁? 由一则口口相传的故事开始吧: 中午吃饭时间抽空小李跑到同座大楼的小张公司串门,小李是一名docker顾问熟称砖家,这间公司老板想挖小李,他盯了前台不 ...