内容简介:当前Munin查询支持以下服务:1.Virustotal
_________ _ _ ______ _____ ______ | | | | | \ | | | | | | \ \ | | | | \ \ | | | | | | | | | | | | | | | | | | | | |_| |_| |_| \_|__|_| |_| |_| _|_|_ |_| |_| Online Hash Checker for Virustotal and Other Services Florian Roth
munin是一个依据文件Hash,从各种在线恶意软件扫描服务提取信息的工具。
当前Munin查询支持以下服务:
1.Virustotal
2.Malshare
3.HybridAnalysis
注 :Munin是基于“VT-Checker”脚本的,该脚本目前在LOKI存储库进行维护。
截图
使用
usage: munin.py [-h] [-f path] [-c cache-db] [-i ini-file] [-s sample-folder] [--comment] [-p vt-comment-prefix] [--download] [-d download_path] [--nocache] [--intense] [--retroverify] [-r num-results] [--nocsv] [--verifycert] [--sort] [--debug] Online Hash Checker optional arguments: -h, --help 显示帮助信息并退出 -f path 要处理的文件(逐行哈希或以行为单位的哈希csv文件 - 自动检测位置和注释) -c cache-db 缓存数据库文件的名称(默认为:vt-hash-db.pkl) -i ini-file 包含API密钥的ini文件的名称 -s sample-folder 要处理的样本文件夹 --comment 对日志中包含注释的analysed hash发表评论 -p vt-comment-prefix Virustotal 注释前缀 --download 从Hybrid Analysis中启用样本下载 -d download_path Hybrid Analysis中用于样本下载的输出路径。文件夹必须存在 --nocache 不使用缓存数据库文件 --intense 使用PhantomJS解析永久链接(用于提取用户对样本的注释) --retroverify 在运行结束时仅检查具有相同注释的40个条目(retrohunt验证) -r num-results 验证结果的数量 --nocsv 不要将结果写入csv文件 --verifycert 验证 SSL/TLS 证书 --sort 对输入行进行排序(对VT retrohunt结果非常有用) --debug 调试输出
特性
模式A:从任意基于正则表达式的文本文件中提取哈希值
模式B:遍历样本目录并在线检查哈希值
通过API(JSON响应)从Virustotal检索有价值的信息,并通过永久链接(HTML解析)获取其他信息
保存历史记录(缓存),只对文本文件中多次出现的散列查询服务一次
被存储在JSON中的缓存对象
使用结果创建CSV文件,以便于后续的处理和报告
如果可用,将结果追加到之前的CSV文件中
提取信息
哈希和注释
基于用户定义的列表进行匹配的AV供应商
在野使用的文件名
PE信息,如描述,原始文件名和版权声明
基于Virustotal ratio的结果
第一次和最后一次提交时间
某些指标的标签:Harmless, Signed, Expired, Revoked, MSSoftware
提取检查
上传样本查询 Malshare.com
查询Hybrid-Analysis.com分析样本
当前批处理中的重复Imphash > 帮助你发现导入哈希表中的重复项
安装
1.下载/克隆存储库
2.安装所需软件包:pip3 install -r requirements.txt(如果是macOS则再添加一个–user参数)
3.(可选:–intense模式需要)下载PhantomJS并将其放入$PATH,例如/usr/local/bin http://phantomjs.org/download.html
4.在munin.ini文件中,为不同的服务设置API密钥
5.首次运行使用demo文件:python munin.py -f munin-demo.txt –nocache
典型的命令行使用
处理Virustotal Retrohunt结果,并在检查之前对行进行排序,以便在块中检查匹配的签名:
python munin.py -f my.ini -f ~/Downloads/retro_hunt
处理IOC文件,并显示在Virustotal上对这些样本发表评论的人(使用PhantomJS,CPU使用率会更高):
python munin.py -f my.ini -f ~/Downloads/misp-event-1234.csv --sort --intense
处理样本目录并在线检查其哈希值:
python munin.py -f my.ini -s ~/malware/case34
获取Munin使用的API密钥
Virustotal
1.在此创建一个帐户: https://www.virustotal.com/#/join-us
2.在Profile > My API key中获取你的public API key。
Malshare
在这里注册: https://malshare.com/register.php
Hybrid Analysis
1.在此创建一个帐户: https://www.hybrid-analysis.com/signup
2.登录,并在Profile > API key中获取密钥。
*参考来源: github ,FB小编 secist 编译,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
从Python开始学编程
Vamei / 电子工业出版社 / 2016-11-24 / CNY 49.00
改编自Vamei博客的《Python快速教程》。本书以Python为样本,不仅介绍了编程的基本概念,还着重讲解编程语言的主流范式:面向过程、面向对象、面向函数。读者不仅可以轻松学会Python,以后再学习其他编程语言时也会更加容易。一起来看看 《从Python开始学编程》 这本书的介绍吧!
JS 压缩/解压工具
在线压缩/解压 JS 代码
正则表达式在线测试
正则表达式在线测试