Official VirusTotal Plugin for IDA Pro 7

Official VirusTotal Plugin for IDA Pro 7

该插件在IDA Pro右键菜单（反汇编和字符串窗口）中添加了一个新的“ VirusTotal”条目，使您可以在VirusTotal上搜索相似或精确的数据。 它将用户选择转换为VTGrep可以理解的查询。下载地址 https://github.com/VirusTotal/vt-ida-plugin

当前的beta版本提供以下搜索选项：

搜索字节：它搜索所选区域中包含的字节。

搜索字符串：它搜索与在字符串窗口中选择的字符串相同的字符串。

搜索相似代码：标识当前选定区域中的内存偏移量或地址，并在搜索时忽略它们。

搜索相似代码（严格）：与上面相同，但它也忽略当前所选区域中的所有常量。

搜索相似功能：与“相似代码”相同，但是您无需选择所有属于该功能的指令。 只需右键单击一条指令，它将自动检测功能边界，并选择当前功能的所有指令。

使用VTGrep内容搜索来跟踪DTrack样本

作为该插件如何加快分析过程的示例，我们对于2019年10月出现的DTrack样本进行了初步分析。提醒一下，该恶意软件被用于攻击Kudankulam核电站（KKNPP- 印度）于2019年9月4日生效，但直到10月底才得到印度印度核电有限公司（NPCIL）的公开承认。

这不是DTrack示例第一次重用先前攻击中的代码。 的确，如果我们搜索字符串dkwero38oerA ^ t @＃（VT智能查询：content：“ dkwero38oerA ^ t @＃”），我们可以在VirusTotal中找到包含该字符串的79个样本，其中一些是DTrack样本。

该字符串用作压缩包含文件和目录“ C：”的“ C.TMP”文件的密钥（每个连接的设备一个zip文件）。 还有另一个有趣的字符串（abcd @ 123），该字符串用于加密包zip文件。 在VirusTotal数据库中，此第二个字符串总共有九次出现。
此外，我们可以在VirusTotal数据库中查找类似的代码。 例如选择WinMain函数的代码

我们可以采用另一种方法来查找相关样本。 我们可以搜索相同的字符串序列。 尽管生成的代码通常在编译之间进行更改，但是字符串在文件内的放置顺序相同。 查看用于收集有关当前IP地址，正在运行的进程和打开的端口的信息的字符串，