Official VirusTotal Plugin for IDA Pro 7

该插件在IDA Pro右键菜单(反汇编和字符串窗口)中添加了一个新的“ VirusTotal”条目,使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin

当前的beta版本提供以下搜索选项:

搜索字节:它搜索所选区域中包含的字节。

搜索字符串:它搜索与在字符串窗口中选择的字符串相同的字符串。

搜索相似代码:标识当前选定区域中的内存偏移量或地址,并在搜索时忽略它们。

搜索相似代码(严格):与上面相同,但它也忽略当前所选区域中的所有常量。

搜索相似功能:与“相似代码”相同,但是您无需选择所有属于该功能的指令。 只需右键单击一条指令,它将自动检测功能边界,并选择当前功能的所有指令。

使用VTGrep内容搜索来跟踪DTrack样本

作为该插件如何加快分析过程的示例,我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下,该恶意软件被用于攻击Kudankulam核电站(KKNPP- 印度)于2019年9月4日生效,但直到10月底才得到印度印度核电有限公司(NPCIL)的公开承认。

这不是DTrack示例第一次重用先前攻击中的代码。 的确,如果我们搜索字符串dkwero38oerA ^ t @#(VT智能查询:content:“ dkwero38oerA ^ t @#”),我们可以在VirusTotal中找到包含该字符串的79个样本,其中一些是DTrack样本。

该字符串用作压缩包含文件和目录“ C:”的“ C.TMP”文件的密钥(每个连接的设备一个zip文件)。 还有另一个有趣的字符串(abcd @ 123),该字符串用于加密包zip文件。 在VirusTotal数据库中,此第二个字符串总共有九次出现。
此外,我们可以在VirusTotal数据库中查找类似的代码。 例如选择WinMain函数的代码

我们可以采用另一种方法来查找相关样本。 我们可以搜索相同的字符串序列。 尽管生成的代码通常在编译之间进行更改,但是字符串在文件内的放置顺序相同。 查看用于收集有关当前IP地址,正在运行的进程和打开的端口的信息的字符串,

Official VirusTotal Plugin for IDA Pro 7的更多相关文章

  1. IDA Pro Disassembler 6.8.15.413 (Windows, Linux, Mac)

    IDA: What's new in 6.8 Highlights This is mainly a maintenance release, so our focus was on fixing b ...

  2. 安卓动态调试七种武器之孔雀翎 – Ida Pro

    安卓动态调试七种武器之孔雀翎 – Ida Pro 作者:蒸米@阿里聚安全 0x00 序 随着移动安全越来越火,各种调试工具也都层出不穷,但因为环境和需求的不同,并没有工具是万能的.另外工具是死的,人是 ...

  3. 计算机病毒实践汇总六:IDA Pro基础

    在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索.敬请批评指正! 1. IDA使用 (1)搜索.下载并执行IDA Pro,对可执行程序lab05-01.dll进行装载,分别以图形 ...

  4. Ubuntu下安装IDA pro

    预备 由于IDA pro只能装在32位环境下,如果是64位Ubuntu,需要运行如下命令安装32位的必备库. sudo dpkg --add-architecture i386 sudo apt-ge ...

  5. How to create an anonymous IDA PRO database (.IDB)

    Source: http://www.0xebfe.net/blog/2013/01/13/how-to-create-an-anonymous-ida-pro-database-dot-idb/ P ...

  6. android调试系列--使用ida pro调试so

    1.工具介绍 IDA pro: 反汇编神器,可静态分析和动态调试. 模拟机或者真机:运行要调试的程序. 样本:阿里安全挑战赛第二题:http://pan.baidu.com/s/1eS9EXIM 2. ...

  7. android调试系列--使用ida pro调试原生程序

    1.工具介绍 IDA pro: 反汇编神器,可静态分析和动态调试. 模拟机或者真机:运行要调试的程序. 样本:自己编写NDK demo程序进行调试 2.前期准备 2.1  准备样本程序(假设已经配置好 ...

  8. [转]How to create an anonymous IDA PRO database (.IDB)

    Source: http://www.0xebfe.net/blog/2013/01/13/how-to-create-an-anonymous-ida-pro-database-dot-idb/ P ...

  9. IDA Pro使用技巧

    DA Pro基本简介 IDA加载完程序后,3个立即可见的窗口分别为IDA-View,Named,和消息输出窗口(output Window). IDA图形视图会有执行流,Yes箭头默认为绿色,No箭头 ...

随机推荐

  1. requests-html库render方法的使用

    一.render的使用 from requests_html import HTMLSession session =HTMLSession() response = session.get('htt ...

  2. MySQL之分库分表(MyCAT实现)

    分库分表介绍 随着微服务这种架构的兴起,我们应用从一个完整的大的应用,切分为很多可以独立提供服务的小应用.每个应用都有独立的数据库. 数据的切分分为两种: 垂直切分:按照业务模块进行切分,将不同模块的 ...

  3. Go Web 编程之 请求

    概述 前面我们学习了处理器和处理器函数,如何编写和注册处理器.本文我们将学习如何从请求中获取信息. 请求的结构 通过前面的学习,我们知道处理器函数需要符合下面的签名: func (w http.Res ...

  4. 【转】SQL语句面试题

    1.一道SQL语句面试题,关于group by表内容:2005-05-09 胜2005-05-09 胜2005-05-09 负2005-05-09 负2005-05-10 胜2005-05-10 负2 ...

  5. Python开发 之 Websocket 的使用示例

    1.唠唠叨叨 最近又回顾了下Websocket,发现已经忘的七七八八了.于是用js写了客户端,用python写了服务端,来复习一下这方面的知识. 2.先看一下效果吧 2.1.效果1(一个客户端连上服务 ...

  6. 重拾c++第一天(1):环境配置

    时过多年,c++基本不记得了,故在此记录相关重拾记录. 学习语言第一步当然是环境配置了(笑),由于暂无用c++进行大型项目开发的需求,所以先下载dev进行过渡. 安装过程非常简单,值得注意的是配置时选 ...

  7. Spring学习记录2——简单了解Spring容器工作机制

    简单的了解Spring容器内部工作机制 Spring的AbstractApplicationContext是ApplicationContext的抽象实现类,该抽象类的refresh()方法定义了Sp ...

  8. 【LC_Lesson1】--字符串反转练习

    LeetCode算法练习题目一: 给定一个字符串,要求将该字符串反转后输出 努力学习,天天向上.借助LeetCode的题目,练习编码能力,数据结构,以及C++和Python的编码能力. 一. 算法实现 ...

  9. Elasticsearch:是什么?你为什么需要他?

    Elasticsearch 是什么? Elasticsearch 是一个分布式的.开源的搜索分析引擎,支持各种数据类型,包括文本.数字.地理.结构化.非结构化. Elasticsearch 是基于 A ...

  10. Java入门 - 语言基础 - 16.数组

    原文地址:http://www.work100.net/training/java-array.html 更多教程:光束云 - 免费课程 数组 序号 文内章节 视频 1 概述 2 声明数组变量 3 创 ...