标签归档:malware-analysis

PyWhat-🐸识别任何东西。pyWhat让您轻松识别电子邮件、IP地址等

想象一下:你会看到一些神秘的文字🧙‍♂️5f4dcc3b5aa765d61d8327deb882cf99你想知道这是什么。你的工作是什么?

嗯,有了what你所要做的就是问what "5f4dcc3b5aa765d61d8327deb882cf99"what我会告诉你的!

what的工作就是识别什么有些事是不管是文件还是文本!甚至是祸不单行的一个文件!那文本呢?文件?我们也有那个!what是递归的,它将标识所有的一切在文本和更多方面!

⚙用例

🦠Wannacry

您会遇到一款名为WantToCry的新恶意软件。你回想起Wannacry,并记得它被停止是因为一名研究人员在代码中发现了一个杀死开关

当硬编码到Wannacry中的域名注册后,病毒就会停止

您使用的是What识别恶意软件中的所有域,并使用域注册器API注册所有域。如果Wannacry再次发生,你可以在几分钟内阻止它,而不是几周

🦈更快地分析PCAP文件

假设你有一个.pcap来自网络攻击的文件。What可以识别这一点并快速找到您:

  • 所有散列
  • 信用卡号码
  • 加密货币地址
  • 社保号码
  • 还有更多

使用what,您可以在几秒内识别出pcap中的重要内容,而不是几分钟。

🌌什么都行

任何时候,只要您有一个文件,并且想要在其中找到有用的结构化数据,What是给你的

或者如果你遇到一段文字,而你不知道它是什么,What会告诉你

文件打开您可以通过以下方式传入文件路径what 'this/is/a/file/path'What聪明到能认出这是个文件!

一整套怎么样?目录What我也能应付得来!它会的递归地搜索文件并输出所需的所有内容!

过滤您可以使用以下命令过滤输出what --rarity 0.2:0.8 --include_tags tag1,tag2 TEXT使用what --help获取更多信息

排序您可以使用以下命令对输出进行排序what -k rarity --reverse TEXT使用what --help获取更多信息

正在导出您可以使用以下命令导出到jsonwhat --json并且可以使用以下命令将结果直接发送到文件what --json > file.json

无边界模式What有一种特殊的模式来匹配字符串中的可识别信息。默认情况下,它在CLI中处于启用状态,但在API中处于禁用状态。使用what --help或参阅API Documentation了解更多信息

🍕API接口

PyWhat有API!单击此处https://github.com/bee-san/pyWhat/wiki/API读到关于这件事的报道

👾贡献

what不仅依靠贡献者茁壮成长,而且离不开他们!如果您想要添加一个新的正则表达式进行检查,您可以阅读我们的文档here

我们邀请投稿人加入不和谐的行列,以便更快地进行讨论,但这并不是必要的: