内容简介:该工具可以拦截
今天给大家介绍的是一款名叫Frida-Wshook的脚本 分析 工具,这款 工具 基于 Frida.re 开发,并且通过 挂钩 恶意脚本文件( WScript / CScript )的常用函数来对脚本命令进行分析。
该工具可以拦截 Windows API函数,并且不会干扰原始目标脚本语言的正常运行。该工具所支持的脚本语言类型如下:
1..js( Jscript )
2..vbs( VBScript )
3..wsf( WSFile )(目前还不支持复杂任务,仍在开发中…)
默认使用csript.exe运行的脚本文件将会输出下列内容:
>COMProjIds >DNS请求 >Shell命令 >网络请求
注意事项
请确保在专门搭建的分析系统环境下运行任意恶意脚本,建议大家使用虚拟机快照,因为当你在系统中运行了恶意脚本之后,系统快照可以帮助大家快速重置系统。
虽然该工具能够挂钩常用函数,但是Windows还给开发人员提供了各种网络交互、文件系统访问和命令执行的API,所以你在分析的过程中也有可能遇到一些不常见的API函数。
工具安装与配置
>安装 Python 2.7
>使用pip命令安装Frida及依赖
pip install frida
>克隆(或下载)Frida-Wshook库
支持的操作系统
Frida-Wshook已在Windows 10和Windows 7进行了测试,理论上该工具可以运行在Windows 7+环境。在x64系统上,CScript会从C:\Windows\SysWow64加载。
该工具也许可以在Windows XP上正常运行,但是我认为CScript可能会使用一些遗留API调用,这很有可能导致某些需要分析的指令被忽略。
工具使用
脚本支持多种可选的命令行参数,这些参数可以帮助我们控制脚本主机可调用的API。
usage:frida-wshook.py [-h] [--debug] [--disable_dns] [--disable_com_init] [--enable_shell][--disable_net] script frida-wshook.pyyour friendly WSH Hooker positional arguments: script Path to target .js/.vbs file optional arguments: -h, --help show this help message and exit --debug Output debug info --disable_dns Disable DNS Requests --disable_com_init Disable COM Object Id Lookup --enable_shell Enable Shell Commands --disable_net Disable Network Requests
使用默认参数分析目标脚本:
python wshook.py bad.js
启用verbose调试:
python wshook.py --debug bad.js
启用 Shell 命令执行:
python frida-wshook.py --enable_shell bad.vbs
禁用WSASend:
python frida-wshook.py --disable_net bad.vbs
检查脚本所使用的ProgIds:
python frida-wshook.py --disable_com_init bad.vbs
钩子函数
>ole32.dll
>Shell32.dll
>Ws2_32.dll
> WSASend
已知问题
1.网络响应无法捕捉;
2.禁用对象查询功能将导致脚本输出缺少第一个恶意软件QA的ProgId;
3.暂不支持需要进行特殊任务的WSF文件。
*参考来源: kitploit ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《Frida-Wshook:一款基于Frida.re的脚本分析工具》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- SSL证书到期时间监控提醒工具+脚本推荐
- 工具 | Google 开源的,更方便、更友好地帮助开发者编写脚本的工具
- 一键黑客工具:一个Python脚本搞定所有攻击操作
- 微软宣布全新命令行+脚本工具:PowerShell 7统一兼容性
- Xencrypt:一款基于PowerShell脚本实现的反病毒绕过工具
- API 测试工具 Hitchhiker 0.4:无所不能的脚本
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
深入浅出MFC (第二版)
侯俊杰 / 华中科技大学出版社 / 2001-1 / 80.00元
《深入浅出MFC》分为四大篇。第一篇提出学习MFC程序设计之前的必要基础,包括Widnows程序的基本观念以及C++的高阶议题。“学前基础”是相当主观的认定,但作者是甚于自己的学习经验以及教学经验,其挑选应该颇具说服力。第二篇介绍Visual C++整合环境开发工具。此篇只是提纲挈领,并不企图取代Visual C++使用手册;然而对于软件使用的老手,此篇或已足以帮助掌握Visual C++整合环境......一起来看看 《深入浅出MFC (第二版)》 这本书的介绍吧!