使用 GitHub 解码器脚本解码有效负载

Question

摘要： 我正在分析一个 pcap 文件，其中包含实时恶意软件（用于教育目的），并使用 Wireshark - 我设法从 HTTP 流和一些可执行文件中提取了一些对象。

在我的分析过程中，我发现了一些暗示使用了 Fiestka Exploit Kit 的实例。

在 Google 上搜索了很多之后，我发现了一个 GitHub 代表：https://github.com/0x3a/tools/blob/master/fiesta-payload-decrypter.py

我想达到什么目的？

我正在尝试针对恶意可执行文件（从 pcap 中提取）运行 python fiesta-payload-decrypter.py。

到目前为止我做了什么？

我已将代码复制到纯文本中并将其保存为malwaredecoder.py。 - 此脚本保存在与我要运行它的恶意软件.exe 相同的文件夹 (/Download/Investigation/) 中。

有什么问题？

Traceback (most recent call last):
      File "malwaredecoder.py", line 51, in <module>
        sys.exit(DecryptFiestaPyload(sys.argv[1], sys.argv[2]))
      File "malwaredecoder.py", line 27, in DecryptFiestaPyload
        fdata = open(inputfile, "rb").read()
    IOError: [Errno 2] No such file or directory: '-'

我在 Kali Linux 中运行这个 python 脚本，任何帮助将不胜感激。谢谢。

Answer 1

脚本需要两个参数...你要传递什么？

看起来它希望 args 是文件，并且它看到 -,（破折号）作为输入文件。

https://github.com/0x3a/tools/blob/master/fiesta-payload-decrypter.py#L44 这里看起来第一个 arg 是输入文件，第二个是输出文件。

尝试像这样运行它：

python malewaredecoder.py /Download/Investigation/fileImInvestigating.pcap /Download/Investigation/out.pcap

说了这么多，祝你好运，该脚本看起来很旧，最后一次修改是在 2015 年。