capa使用过程遇到的问题——ubuntu 20解压压缩恶意代码

一、问题

从https://bazaar.abuse.ch/browse/，下载恶意代码解压时发生如下错误：

unzip -P infected 2233af88b1f14a01921806ef1c91df8a7686d898c03fb700144d0d6c2feb374b.zip -d ./.

Archive:  2233af88b1f14a01921806ef1c91df8a7686d898c03fb700144d0d6c2feb374b.zip

  skipping: 2233af88b1f14a01921806ef1c91df8a7686d898c03fb700144d0d6c2feb374b.exe  need PK compat. v5.1 (can do v4.6)

二、解决途径

参考资料：https://askubuntu.com/questions/596761/error-while-unzipping-need-pk-compat-v5-1-can-do-v4-6

sudo apt-get install p7zip-full 

7z x 2233af88b1f14a01921806ef1c91df8a7686d898c03fb700144d0d6c2feb374b.zip -aoa -pinfected

三、capa的使用

详细介绍文章：

https://stillu.cc/infosec/2020/07/19/closer-look-at-capa/

https://stillu.cc/windows-security-tools

https://securityevil.blogspot.com/2020/08/malware-analysis-with-capa.html

capa检测可执行文件中的功能。针对PE文件或shellcode运行它，它会告诉你它认为程序可以做什么。例如，它可能暗示该文件是一个后门，能够安装服务，或依赖HTTP进行通信。

从https://github.com/fireeye/capa下载最新发行版，解压即刻。可参考：https://www.freebuf.com/sectool/244831.html

两种运行方式：

第一种详细信息：capa 2233af88b1f14a01921806ef1c91df8a7686d898c03fb700144d0d6c2feb374b.exe -vv

第二种简约信息：

capa 2233af88b1f14a01921806ef1c91df8a7686d898c03fb700144d0d6c2feb374b.exe