FireEye 推出了一個開源工具 ( CAPA )，用於對潛在的 PE 文件或 shellcode 進行惡意軟件分析。CAPA 檢測可執行文件中的功能。你對一個 PE 文件或 shellcode 運行它，它會告訴你它認為程序可以做什麼。例如，它可能表明該文件是後門、能夠安裝服務或依賴 HTTP 進行通信。

安裝步驟：

CAPA的特點：

• 使用描述附加惡意軟件功能的內置規則進行檢測，並使用 ATT&CK 技術對其進行映射。
• 靜態惡意軟件分析，清楚地了解惡意軟件指令和執行流程。
• 主機交互描述了與文件系統、進程和註冊表交互的程序功能。
• Anti-Analysis 描述了打包程序、Anti-VM、Anti-Debugging 和其他相關技術
• 收集描述了用於竊取憑據或信用卡信息等數據的功能
• 數據操作描述了加密、解密和散列數據的能力
• 通信描述了數據傳輸技術，例如 HTTP、DNS 和 TCP

與 CAPA 合作：

• 啟動該工具以分析惡意 Windows 可執行文件並檢查惡意軟件功能及其 ATT&CK 技術。

另請閱讀：APT-Hunter – Windows 事件日誌的威脅搜尋工具

傳遞-vv旗幟

• -vv 標誌（非常詳細），capa 準確報告它在哪裡找到了這些功能的證據。
• 它顯示了經驗豐富的分析師可能會使用 IDA Pro 或其他惡意軟件反彙編工具在二進製文件中的哪個位置進行研究。
• 它提供了指令信息和惡意軟件入口地址，稍後可以在反彙編工具中對其進行驗證，以檢索Comproimise 的指標。

另請閱讀：Soc 面試問題和答案——網絡安全分析師

用於提取妥協指標的反彙編程序

• 讓我們使用 Disassembler 驗證上述一些惡意軟件操作，以檢索下載的可疑文件和惡意軟件域。

• 類似的方式，我們可以反轉和提取其他信息，例如（進程名稱、註冊表項值等）作為靜態分析的一部分。
• CAPA 為用戶提供了一個快速分析可執行樣本的獨特工具，CAPA 工具將識別惡意軟件的一些特徵和模式，這將有助於惡意軟件分析人員進行進一步調查。

狩獵快樂！！！