EKFiddle – 一个用于研究漏洞攻击套件、恶意广告和恶意流量框架-RadeBit瑞安全

安装


下载并安装最新版本的Fiddler
https://www.telerik.com/fiddler


这里有关于Linux和Mac的特别说明:

https://www.telerik.com/blogs/fiddler-for-linux-beta-is-here
https://www.telerik.com/blogs/introducing-fiddler-for-os-x-beta-1

启用C#脚本(仅限Windows)
启动Fiddler,然后转到Tools -> Options
在“ Scripting选项卡中,将默认值(JScript.NET)更改为C#。

更改默认文本编辑器(可选)
在相同的Tools -> Options菜单中,单击Tools选项卡。

  • Windows: notepad.exenotepad++.exe
  • Linux: gedit
  • Mac: /Applications/TextEdit.app/Applications/TextWrangler.app

关闭Fiddler

根据您的操作系统将CustomRules.cs下载或克隆到相应的文件夹中:

  • Windows(7/10) C:\Users\[username]\Documents\Fiddler2\Scripts\
  • Ubuntu /home/[username]/Fiddler2/Scripts/
  • Mac /Users/[username]/Fiddler2/Scripts/


完成安装
启动Fiddler以完成EKFiddle的安装。 就是这样,你们都准备好了!


特征


工具栏按钮
添加的工具栏按钮为您提供了一些主要功能的快捷方式:

EKFiddle – 一个用于研究漏洞攻击套件、恶意广告和恶意流量框架-RadeBit瑞安全


快速保存
将当前的Web会话转储到名为(QuickSave-“MM-dd-yyyy-HH-mm-ss”.saz)的SAZ到EKFiddle \ Captures。

UI模式
在默认列视图或带有附加信息的额外列之间切换(包括时间戳,服务器IP和类型,方法等)。

VPN
VPN GUI直接内置于Fiddler中。 它使用Windows和Linux上的OpenVPN客户端和ovpn文件(可能需要与商业VPN提供商合作)。每当它通过选定的.ovpn配置文件连接到新服务器时,它将打开一个新的终端/ xterm,杀死前一个以确保在任何给定时间只使用一个TA​​P适配器。

  • 视窗

在默认目录中下载并安装OpenVPN
将.ovpn文件放在OpenVPN的config文件夹中。

  • Linux(在Ubuntu 16.04上测试)

sudo apt-get install openvpn
将.ovpn文件放在/ etc / openvpn中。

代理
允许您连接到上游代理(HTTP / s或SOCKS)。

导入SAZ / PCAP
加载SAZ(Fiddler的原生格式)或PCAP(即来自Wireshark)的快捷方式捕获。

查看/编辑正则表达式
查看和创建自定义正则表达式。 注意:主列表通过GitHub提供自动更新。 此外,自定义列表允许您创建自己的规则。

运行Regexes
针对当前Web会话运行主和自定义正则表达式。

明确标记
清除当前加载的会话中的任何注释和颜色突出显示。

ContextAction菜单
ContextAction菜单(通过右键单击任何会话进行访问)允许您在选定的部分上执行其他命令。这对于快速查找,计算哈希或提取IOC非常有用。

主机名或IP地址(Google搜索,RiskIQ,URLQuery,RiskIQ)
查询当前所选会话的主机名。


URI


构建正则表达式
从当前选定的URI创建正则表达式。 此操作将打开一个正则表达式网站,URI已经在剪贴板中,可以粘贴到查询字段中。

打开... Internet Explorer,Chrome,Firefox,Edge
这将使用您选择的浏览器打开URI。

响应机构

删除编码
解码当前选定的会话(来自其基本编码)。

构建正则表达式
从当前选定的会话的源代码创建正则表达式。 此操作将打开一个正则表达式网站,URI已经在剪贴板中,可以粘贴到查询字段中。

计算MD5 / SHA256哈希值
获取当前会话的正文并计算其哈希值。

混合分析 / VirusTotal查找
检查当前会话的主体是否有哈希值,然后查找该哈希值。

提取到磁盘
将当前选择的会话的正文下载到磁盘,进入“Artifacts”文件夹。

提取IOC
从选定的会话复制到内存基本信息,以便它们可以作为IOC共享。

将点连接
允许您识别会话之间的事件序列。 右键,您有兴趣回顾您的步骤并简单地“连接点”。 它将在注释列中标记从01到n的事件序列。 您可以对该列重新排序,以获得序列的精简视图。

履带
从文本文件加载URL列表,让浏览器自动访问它们。 工具 - > Crawler (实验性) - >启动爬虫可能需要在浏览器的设置中进行一些调整,特别是关于崩溃恢复IE:不需要Firefox:about:config,为toolkit.startup.max_resumed_crashes设置-1值Chrome:not需要Edge:修复已包含在内

卸载EKFiddle
删除CustomRules.cs