Frida-Wshook:一款基于Frida.re的脚本分析工具

栏目: C · 发布时间: 6年前

内容简介:该工具可以拦截

今天给大家介绍的是一款名叫Frida-Wshook的脚本 分析 工具,这款 工具 基于 Frida.re 开发,并且通过 挂钩 恶意脚本文件( WScript / CScript )的常用函数来对脚本命令进行分析。

Frida-Wshook:一款基于Frida.re的脚本分析工具

该工具可以拦截 Windows API函数,并且不会干扰原始目标脚本语言的正常运行。该工具所支持的脚本语言类型如下:

1..js( Jscript

2..vbs( VBScript

3..wsf( WSFile )(目前还不支持复杂任务,仍在开发中…)

默认使用csript.exe运行的脚本文件将会输出下列内容:

>COMProjIds
>DNS请求
>Shell命令
>网络请求

注意事项

请确保在专门搭建的分析系统环境下运行任意恶意脚本,建议大家使用虚拟机快照,因为当你在系统中运行了恶意脚本之后,系统快照可以帮助大家快速重置系统。

虽然该工具能够挂钩常用函数,但是Windows还给开发人员提供了各种网络交互、文件系统访问和命令执行的API,所以你在分析的过程中也有可能遇到一些不常见的API函数。

工具安装与配置

>安装 Python 2.7

>使用pip命令安装Frida及依赖

pip install frida

>克隆(或下载)Frida-Wshook库

支持的操作系统

Frida-Wshook已在Windows 10和Windows 7进行了测试,理论上该工具可以运行在Windows 7+环境。在x64系统上,CScript会从C:\Windows\SysWow64加载。

该工具也许可以在Windows XP上正常运行,但是我认为CScript可能会使用一些遗留API调用,这很有可能导致某些需要分析的指令被忽略。

工具使用

脚本支持多种可选的命令行参数,这些参数可以帮助我们控制脚本主机可调用的API。

usage:frida-wshook.py [-h] [--debug] [--disable_dns] [--disable_com_init]
                       [--enable_shell][--disable_net]
                       script
frida-wshook.pyyour friendly WSH Hooker
positional arguments:
  script              Path to target .js/.vbs file
optional arguments:
  -h, --help          show this help message and exit
  --debug             Output debug info
  --disable_dns       Disable DNS Requests
  --disable_com_init  Disable COM Object Id Lookup
  --enable_shell      Enable Shell Commands
  --disable_net       Disable Network Requests

使用默认参数分析目标脚本:

python wshook.py bad.js

启用verbose调试:

python wshook.py --debug bad.js

启用 Shell 命令执行:

python frida-wshook.py --enable_shell bad.vbs

禁用WSASend:

python frida-wshook.py --disable_net bad.vbs

检查脚本所使用的ProgIds:

python frida-wshook.py --disable_com_init bad.vbs

钩子函数

>ole32.dll

> CLSIDFromProgIDEx

>Shell32.dll

> ShellExecuteEx

>Ws2_32.dll

> WSASocketW

> GetAddrInfoExW

> WSASend

> WSAStartup

已知问题

1.网络响应无法捕捉;

2.禁用对象查询功能将导致脚本输出缺少第一个恶意软件QA的ProgId;

3.暂不支持需要进行特殊任务的WSF文件。

*参考来源: kitploit ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《Frida-Wshook:一款基于Frida.re的脚本分析工具》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

深入浅出MFC (第二版)

深入浅出MFC (第二版)

侯俊杰 / 华中科技大学出版社 / 2001-1 / 80.00元

《深入浅出MFC》分为四大篇。第一篇提出学习MFC程序设计之前的必要基础,包括Widnows程序的基本观念以及C++的高阶议题。“学前基础”是相当主观的认定,但作者是甚于自己的学习经验以及教学经验,其挑选应该颇具说服力。第二篇介绍Visual C++整合环境开发工具。此篇只是提纲挈领,并不企图取代Visual C++使用手册;然而对于软件使用的老手,此篇或已足以帮助掌握Visual C++整合环境......一起来看看 《深入浅出MFC (第二版)》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

在线进制转换器
在线进制转换器

各进制数互转换器

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具