Official VirusTotal Plugin for IDA Pro 7

该插件在IDA Pro右键菜单(反汇编和字符串窗口)中添加了一个新的“ VirusTotal”条目,使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin

当前的beta版本提供以下搜索选项:

搜索字节:它搜索所选区域中包含的字节。

搜索字符串:它搜索与在字符串窗口中选择的字符串相同的字符串。

搜索相似代码:标识当前选定区域中的内存偏移量或地址,并在搜索时忽略它们。

搜索相似代码(严格):与上面相同,但它也忽略当前所选区域中的所有常量。

搜索相似功能:与“相似代码”相同,但是您无需选择所有属于该功能的指令。 只需右键单击一条指令,它将自动检测功能边界,并选择当前功能的所有指令。

使用VTGrep内容搜索来跟踪DTrack样本

作为该插件如何加快分析过程的示例,我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下,该恶意软件被用于攻击Kudankulam核电站(KKNPP- 印度)于2019年9月4日生效,但直到10月底才得到印度印度核电有限公司(NPCIL)的公开承认。

这不是DTrack示例第一次重用先前攻击中的代码。 的确,如果我们搜索字符串dkwero38oerA ^ t @#(VT智能查询:content:“ dkwero38oerA ^ t @#”),我们可以在VirusTotal中找到包含该字符串的79个样本,其中一些是DTrack样本。

该字符串用作压缩包含文件和目录“ C:”的“ C.TMP”文件的密钥(每个连接的设备一个zip文件)。 还有另一个有趣的字符串(abcd @ 123),该字符串用于加密包zip文件。 在VirusTotal数据库中,此第二个字符串总共有九次出现。
此外,我们可以在VirusTotal数据库中查找类似的代码。 例如选择WinMain函数的代码

我们可以采用另一种方法来查找相关样本。 我们可以搜索相同的字符串序列。 尽管生成的代码通常在编译之间进行更改,但是字符串在文件内的放置顺序相同。 查看用于收集有关当前IP地址,正在运行的进程和打开的端口的信息的字符串,

Official VirusTotal Plugin for IDA Pro 7的更多相关文章

  1. IDA Pro Disassembler 6.8.15.413 (Windows, Linux, Mac)

    IDA: What's new in 6.8 Highlights This is mainly a maintenance release, so our focus was on fixing b ...

  2. 安卓动态调试七种武器之孔雀翎 – Ida Pro

    安卓动态调试七种武器之孔雀翎 – Ida Pro 作者:蒸米@阿里聚安全 0x00 序 随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的.另外工具是死的,人是 ...

  3. 计算机病毒实践汇总六:IDA Pro基础

    在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索.敬请批评指正! 1. IDA使用 (1)搜索.下载并执行IDA Pro,对可执行程序lab05-01.dll进行装载,分别以图形 ...

  4. Ubuntu下安装IDA pro

    预备 由于IDA pro只能装在32位环境下,如果是64位Ubuntu,需要运行如下命令安装32位的必备库. sudo dpkg --add-architecture i386 sudo apt-ge ...

  5. How to create an anonymous IDA PRO database (.IDB)

    Source: http://www.0xebfe.net/blog/2013/01/13/how-to-create-an-anonymous-ida-pro-database-dot-idb/ P ...

  6. android调试系列--使用ida pro调试so

    1.工具介绍 IDA pro: 反汇编神器,可静态分析和动态调试. 模拟机或者真机:运行要调试的程序. 样本:阿里安全挑战赛第二题:http://pan.baidu.com/s/1eS9EXIM 2. ...

  7. android调试系列--使用ida pro调试原生程序

    1.工具介绍 IDA pro: 反汇编神器,可静态分析和动态调试. 模拟机或者真机:运行要调试的程序. 样本:自己编写NDK demo程序进行调试 2.前期准备 2.1  准备样本程序(假设已经配置好 ...

  8. [转]How to create an anonymous IDA PRO database (.IDB)

    Source: http://www.0xebfe.net/blog/2013/01/13/how-to-create-an-anonymous-ida-pro-database-dot-idb/ P ...

  9. IDA Pro使用技巧

    DA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window). IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头 ...

随机推荐

  1. 洛谷$P$2286 宠物收养场 $[HNOI2004]$ $splay$

    正解:$splay$ 解题报告: 传送门! $splay$板子,,,? 先考虑这题要实现些什么东西嘛$QwQ$ 其实只要实现一个东西?就查询数列中与给定数字相差最小的数,显然用$splay$查询前驱后 ...

  2. $CH5104\ I-country$ 线性$DP$

    CH Sol ”凸联通块“是什么意思呢? 其实就是图形的左端点先减小再增大,右端点先增大再减小 阶段 考虑到第k行,已经选了i个格子 状态 1.第i行的左端点与右端点 2.这一行的左端点相对于上一行的 ...

  3. ELK日志分析系统搭建

    之前一段时间由于版本迭代任务紧,组内代码质量不尽如人意.接二连三的被测试提醒后台错误之后, 我们决定搭建一个后台日志分析系统, 经过几个方案比较后,选择的相对更简单的ELK方案. ELK 是Elast ...

  4. 洛谷P2858 奶牛零食 题解 区间DP入门题

    题目大意: 约翰经常给产奶量高的奶牛发特殊津贴,于是很快奶牛们拥有了大笔不知该怎么花的钱.为此,约翰购置了 \(N(1 \le N \le 2000)\) 份美味的零食来卖给奶牛们.每天约翰售出一份零 ...

  5. 面试中经常问到的Redis七种数据类型,你都真正了解吗?

    前言 Redis不是一个简单的键值对存储,它实际上是一个支持各种类型数据结构的存储.在传统的键值存储中,是将字符串键关联到字符串值,但是在Redis中,这些值不仅限于简单的字符串,还可以支持更复杂的数 ...

  6. 机器学习回顾篇(14):主成分分析法(PCA)

    .caret, .dropup > .btn > .caret { border-top-color: #000 !important; } .label { border: 1px so ...

  7. 记录一下第一次用markdown写博客回滚过程

    前面写博客,一直用的是博客园的TinyMCE编辑器, 今天不知道哪根筋搭牢了,想试试用Markdown写. 于是在“选项”里面把默认编辑器修改为“Markdown”,鉴于本人有一定的Markdown基 ...

  8. echarts设置网格线颜色

    xAxis: { type: 'value', //设置网格线颜色 splitLine: { show: true, lineStyle:{ color: ['#315070'], width: 1, ...

  9. 缓存读写策略 - Cache Aside.md

    场景描述 比如一条数据同时存在数据库.缓存,现在你要更新此数据,你会怎么更新? 先更新数据库?还是先更新缓存? 其实这两种方式都有问题. (1)先更新数据库,后更新缓存 这样会造成数据不一致. A 先 ...

  10. PHPStorm 最新版下载

    2019最新版phpstorm   包含其他版下载地址   https://www.jetbrains.com/phpstorm/download/other.html