IDA插件之HashDB-查询恶意软件Windows API Hash库

IDA插件之HashDB-查询恶意软件Windows API Hash库

项目地址

GitHub:github.com/OALabs/hashdb-ida

HashDB IDA 插件

用于 IDA Pro 的恶意软件字符串哈希查找插件。
这个插件连接到 OALABS HashDB 查找服务

添加新的哈希算法

哈希算法数据库是开源的,可以在GitHub 上添加新算法。
拉取请求大多是自动化的,只要我们的自动化测试通过,新算法将在几分钟内在 HashDB 上可用。

IDA插件之HashDB-查询恶意软件Windows API Hash库

使用哈希数据库

通过右键单击 IDA 反汇编视图中的散列常量并启动HashDB Lookup客户端,可以使用 HashDB 来查找已在恶意软件中散列的字符串。

设置

在插件可用于查找哈希之前,必须配置 HashDB 设置。设置窗口可以从插件菜单启动Edit->Plugins->HashDB

IDA插件之HashDB-查询恶意软件Windows API Hash库
哈希算法

单击Refresh Algorithms以从 HashDB API 中提取支持的哈希算法列表,然后选择您正在分析的恶意软件中使用的算法。

可选的异或

还有一个选项可以对每个散列值启用 XOR,因为这是恶意软件作者用来进一步混淆散列的常用技术。

网址接口

HashDB 查找服务的默认 API URL 是https://hashdb.openanalysis.net/
如果您使用自己的内部服务器,则可以更改此 URL 以指向您的服务器。

枚举名称

当 HashDB 识别出一个新的哈希值时,该哈希值及其关联的字符串会被添加到IDA 中的枚举中。然后可以使用该枚举将 IDA 中的哈希常量转换为其相应的枚举名称。如果与现有枚举存在冲突,则可以从设置中配置枚举名称。

哈希查找

配置插件设置后,您可以右键单击 IDA 反汇编窗口中的任何常量,然后将常量作为哈希查找。
如果需要,右键单击还提供了一种设置 XOR 值的快速方法。

IDA插件之HashDB-查询恶意软件Windows API Hash库

批量导入

如果散列是模块的一部分,提示将询问您是否要从该模块导入所有散列。这是批量提取散列的快速方法。
例如,如果识别出的哈希值之一Sleep来自kernel32模块,则 HashDB 可以从kernel32.

IDA插件之HashDB-查询恶意软件Windows API Hash库

算法搜索

HashDB 还包括一个基本算法搜索,它将尝试根据哈希值识别哈希算法。搜索将返回包含哈希值的所有算法,由分析师决定哪个(如果有)算法是正确的。要使用此功能,请右键单击哈希常量并选择HashDB Hunt Algorithm

IDA插件之HashDB-查询恶意软件Windows API Hash库

所有包含此散列的算法都将显示在选择器框中。选择框可以用来直接选择HashDB使用的算法。如果Cancel选中,则不会选择任何算法。

IDA插件之HashDB-查询恶意软件Windows API Hash库

动态导入地址表哈希扫描

一些恶意软件开发人员会在内存中创建一个导入哈希块,而不是单独解析 API 哈希值(代码内联)。然后,这些散列在单个函数中全部解析,创建一个动态导入地址表,稍后在代码中引用。在这些场景中,可以使用HashDB Scan IAT功能。

IDA插件之HashDB-查询恶意软件Windows API Hash库

只需选择导入哈希块,右键单击并选择HashDB Scan IAT。HashDB 将尝试解析所选范围内的每个单独的 DWORD。

安装哈希数据库

在使用插件之前,您必须在 IDA 环境中安装 python requests模块。最简单的方法是从 IDA 外部的 shell 使用 pip。

pip install requests

安装方法:

一旦你安装了 requests 模块,只需将最新版本复制hashdb.py到你的 IDA 插件目录中,你就可以开始查找哈希了!

❗兼容性问题

HashDB 插件是为与IDA 7+和Python 3一起使用而开发的,它不向后兼容。

IDA插件之HashDB-查询恶意软件Windows API Hash库

HashDB插件下载地址

①GitHub:

https://github.com/OALabs/hashdb.py

②云中转网盘:

yunzhongzhuan.com/#sharefile=FXBqcjXG_14057
解压密码:www.ddosi.org

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注