摘要:
我正在分析带有实时恶意软件的pcap文件(出于教育目的),并使用Wireshark-我设法从HTTP流中提取了一些对象和一些可执行文件。
在分析过程中,我发现了一些实例提示使用的Fiestka Exploit Kit。
用一吨谷歌搜索后,我遇到了一个GitHub代表:https://github.com/0x3a/tools/blob/master/fiesta-payload-decrypter.py我想达到什么目的?
I am trying to run the python fiesta-payload-decrypter.py against the malicious executable (extracted from the pcap).
到目前为止,我做了什么?
I've copied the code onto a plain text and saved it as malwaredecoder.py. - This script is saved in the same Folder (/Download/Investigation/) as the malware.exe that I want to run it against.
What's the Problem?
Traceback (most recent call last):
File "malwaredecoder.py", line 51, in <module>
sys.exit(DecryptFiestaPyload(sys.argv[1], sys.argv[2]))
File "malwaredecoder.py", line 27, in DecryptFiestaPyload
fdata = open(inputfile, "rb").read()
IOError: [Errno 2] No such file or directory: '-'
最佳答案
该脚本需要两个参数...您要传递什么?
看起来它期望args是文件,并且它看到-(破折号)作为输入文件。https://github.com/0x3a/tools/blob/master/fiesta-payload-decrypter.py#L44在这里看起来第一个arg是输入文件,第二个是输出文件。
尝试像这样运行它:
python malewaredecoder.py /Download/Investigation/fileImInvestigating.pcap /Download/Investigation/out.pcap
关于python - 使用GitHub Decoder脚本解码有效载荷,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64973305/