z9:一款功能强大的PowerShell恶意软件检测与分析工具

2023-11-16 14:08:27 浏览数 (2)

关于z9

z9是一款功能强大的PowerShell恶意软件检测与分析工,该工具可以帮助广大研究人员从PowerShell日志的事件记录中检测基于PowerShell实现的恶意软件组件。

工具安装

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

代码语言:javascript复制
git clone https://github.com/Sh1n0g1/z9.git
(向右滑动,查看更多)

然后切换到项目目录中,使用pip工具和项目提供的requirements.txt安装该工具所需的其他依赖组件:

代码语言:javascript复制
cd z9

pip install -r requirements.txt
(向右滑动,查看更多)

工具使用帮助

代码语言:javascript复制


usage: z9.py [-h] [--output OUTPUT] [-s] [--no-viewer] [--utf8] input

positional arguments:

  input                 输入文件路径
options:

  -h, --help            显示工具帮助信息和退出

  --output OUTPUT, -o OUTPUT

                       输出文件路径

  -s, --static           启用静态分析代码

  --no-viewer           禁止在Web浏览器中打开JSON查看器

  --utf8                以UTF-8编码读取脚本文件
(向右滑动,查看更多)

工具使用

分析事件日志

代码语言:javascript复制
python z9.py <input file> -o <output json>

python z9.py <input file> -o <output json> --no-viewer
(向右滑动,查看更多)

参数解析

参数命令

命令介绍

input file

从事件日志eventlog中导出的XML文件路径

-o output json

存储z9分析结果的文件名

--no-viewer

不打开查看器

命令参考样例

代码语言:javascript复制
python z9.py utillogmwpsop.xml -o sample1.json
(向右滑动,查看更多)

静态PowerShell文件分析

代码语言:javascript复制
python z9.py <input file> -o <output json> -s

python z9.py <input file> -o <output json> -s --utf8

python z9.py <input file> -o <output json> -s --no-viewer
(向右滑动,查看更多)

注意:该方法只会对目标执行静态分析,在遇到样本代码经过模糊处理的情况时,可能提供的结果不一定正确。

参数解析

参数命令

命令介绍

input file

要分析的PowerShell文件路径

-o output json

存储z9分析结果的文件名

-s

执行静态分析

--utf8

当输入文件编码为UTF-8时需要指定该参数

--no-viewer

不打开查看器

命令参考样例

代码语言:javascript复制
python z9.py malware.ps1 -o sample1.json -s
(向右滑动,查看更多)

如何准备XML文件?

启用PowerShell日志记录

1、右键点击并整合该注册表文件:https://github.com/Sh1n0g1/z9/blob/main/util/enable_powershell_logging.reg; 2、重启PC; 3、所有的PowerShell执行此时都会在事件日志中被记录;

将事件日志转储为XML

1、执行该批处理文件:https://github.com/Sh1n0g1/z9/blob/main/util/collect_psevent.bat; 2、XML文件将会在util/log目录中被创建; 3、z9工具支持解析这些XML文件;

删除现有的事件日志

以“管理员权限“执行该批处理文件:https://github.com/Sh1n0g1/z9/blob/main/util/clear_psevent.bat

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

z9:https://github.com/Sh1n0g1/z9

https://www.fortinet.com/blog/threat-research/exelastealer-infostealer-enters-the-field

https://z9.shino.club/

0 人点赞