freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Frida-Wshook:一款基于Frida.re的脚本分析工具
2018-11-11 15:00:00

今天给大家介绍的是一款名叫Frida-Wshook的脚本分析工具,这款工具基于Frida.re开发,并且通过挂钩恶意脚本文件(WScript/ CScript)的常用函数来对脚本命令进行分析。

1111111111111.png

该工具可以拦截Windows API函数,并且不会干扰原始目标脚本语言的正常运行。该工具所支持的脚本语言类型如下:

1..js(Jscript

2..vbs(VBScript

3..wsf(WSFile)(目前还不支持复杂任务,仍在开发中…)

默认使用csript.exe运行的脚本文件将会输出下列内容:

>COMProjIds

>DNS请求

>Shell命令

>网络请求

注意事项

请确保在专门搭建的分析系统环境下运行任意恶意脚本,建议大家使用虚拟机快照,因为当你在系统中运行了恶意脚本之后,系统快照可以帮助大家快速重置系统。

虽然该工具能够挂钩常用函数,但是Windows还给开发人员提供了各种网络交互、文件系统访问和命令执行的API,所以你在分析的过程中也有可能遇到一些不常见的API函数。

工具安装与配置

>安装Python 2.7

>使用pip命令安装Frida及依赖

pip install frida

>克隆(或下载)Frida-Wshook库

支持的操作系统

Frida-Wshook已在Windows 10和Windows 7进行了测试,理论上该工具可以运行在Windows 7+环境。在x64系统上,CScript会从C:\Windows\SysWow64加载。

该工具也许可以在Windows XP上正常运行,但是我认为CScript可能会使用一些遗留API调用,这很有可能导致某些需要分析的指令被忽略。

工具使用

脚本支持多种可选的命令行参数,这些参数可以帮助我们控制脚本主机可调用的API。

usage:frida-wshook.py [-h] [--debug] [--disable_dns] [--disable_com_init]

                       [--enable_shell][--disable_net]

                       script

frida-wshook.pyyour friendly WSH Hooker

positional arguments:

  script              Path to target .js/.vbs file

optional arguments:

  -h, --help          show this help message and exit

  --debug             Output debug info

  --disable_dns       Disable DNS Requests

  --disable_com_init  Disable COM Object Id Lookup

  --enable_shell      Enable Shell Commands

  --disable_net       Disable Network Requests

使用默认参数分析目标脚本:

python wshook.py bad.js

启用verbose调试:

python wshook.py --debug bad.js

启用Shell命令执行:

python frida-wshook.py --enable_shell bad.vbs

禁用WSASend:

python frida-wshook.py --disable_net bad.vbs

检查脚本所使用的ProgIds:

python frida-wshook.py --disable_com_init bad.vbs

钩子函数

>ole32.dll

>CLSIDFromProgIDEx

>Shell32.dll

>ShellExecuteEx

>Ws2_32.dll

>WSASocketW

>GetAddrInfoExW

>WSASend

>WSAStartup

已知问题

1.网络响应无法捕捉;

2.禁用对象查询功能将导致脚本输出缺少第一个恶意软件QA的ProgId;

3.暂不支持需要进行特殊任务的WSF文件。

*参考来源:kitploit,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 脚本分析
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑