从 ICEDID 样本中提取有效载荷的 Python 脚本。
下载 icedid-configuration-extractor.tar.gz
有关 ICEDID 恶意软件和网络基础设施的信息,请查看以下资源
入门指南
Docker
推荐且最简单的方法是使用 Docker。从本 README 所在的目录中,您可以构建一个本地容器。
docker build . -t icedid_loader_config_extractor然后,我们使用 -v 标志运行容器,将主机目录映射到 docker 容器目录。
docker run -ti --rm -v $(pwd)/data:/data icedid_loader_config_extractor:latest --help在本地运行
如上所述,Docker 是运行此项目的推荐方法,但您也可以在本地运行它。此项目使用 Poetry 来管理依赖项、测试和元数据。如果您已经安装了 Poetry,则从该目录中,您只需运行以下命令即可运行该工具。这将设置虚拟环境、安装依赖项、激活虚拟环境并运行控制台脚本。
poetry lock
poetry install
poetry shell
poetry lock
poetry install
poetry shell
icedid_loader_config_extractor --help用法
所有样本都需要在尝试执行提取之前解包。
我们可以使用 -f 选项指定单个样本,或者使用 -d 指定样本目录。
docker run -ti --rm -v $(pwd)/data:/data icedid_loader_config_extractor:latest -d "C:\tmp\samples"您可以从运行提取器时设置的目录中收集提取的配置。