Munin:依据文件Hash从各种在线恶意软件扫描服务提取信息的工具

文章来源: http://www.freebuf.com/sectool/182863.html, 本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

_________   _    _   ______  _____  ______
| | | | | \ | |  | | | |  \ \  | |  | |  \ \
| | | | | | | |  | | | |  | |  | |  | |  | |
|_| |_| |_| \_|__|_| |_|  |_| _|_|_ |_|  |_|

Online Hash Checker for Virustotal and Other Services
Florian Roth

munin是一个依据文件Hash,从各种在线恶意软件扫描服务提取信息的工具。

当前Munin查询支持以下服务:

1.Virustotal

2.Malshare

3.HybridAnalysis

:Munin是基于“VT-Checker”脚本的,该脚本目前在LOKI存储库进行维护。

截图

Munin:依据文件Hash从各种在线恶意软件扫描服务提取信息的工具

使用

usage: munin.py [-h] [-f path] [-c cache-db] [-i ini-file] [-s sample-folder]
                [--comment] [-p vt-comment-prefix] [--download]
                [-d download_path] [--nocache] [--intense] [--retroverify]
                [-r num-results] [--nocsv] [--verifycert] [--sort] [--debug]

Online Hash Checker

optional arguments:
  -h, --help            显示帮助信息并退出
  -f path               要处理的文件(逐行哈希或以行为单位的哈希csv文件 - 自动检测位置和注释)
  -c cache-db           缓存 数据库 文件的名称(默认为:vt-hash-db.pkl) 
  -i ini-file           包含API密钥的ini文件的名称
  -s sample-folder      要处理的样本文件夹
  --comment             对日志中包含注释的analysed hash发表评论
  -p vt-comment-prefix  Virustotal 注释前缀
  --download            从Hybrid Analysis中启用样本下载
  -d download_path      Hybrid Analysis中用于样本下载的输出路径。文件夹必须存在                        
  --nocache             不使用缓存数据库文件
  --intense             使用PhantomJS解析永久链接(用于提取用户对样本的注释)
  --retroverify         在运行结束时仅检查具有相同注释的40个条目(retrohunt验证)
  -r num-results        验证结果的数量
  --nocsv               不要将结果写入csv文件
  --verifycert          验证 SSL/TLS 证书
  --sort                对输入行进行排序(对VT retrohunt结果非常有用)
  --debug               调试输出

特性

模式A:从任意基于正则表达式的文本文件中提取哈希值

模式B:遍历样本目录并在线检查哈希值

通过API(JSON响应)从Virustotal检索有价值的信息,并通过永久链接(HTML解析)获取其他信息

保存历史记录(缓存),只对文本文件中多次出现的散列查询服务一次

被存储在 JSON 中的缓存对象

使用结果创建CSV文件,以便于后续的处理和报告

如果可用,将结果追加到之前的CSV文件中

提取信息

哈希和注释

基于用户定义的列表进行匹配的AV供应商

在野使用的文件名

PE信息,如描述,原始文件名和版权声明

基于Virustotal ratio的结果

第一次和最后一次提交时间

某些指标的标签:Harmless, Signed, Expired, Revoked, MSSoftware

提取检查

上传样本查询 Malshare.com

查询Hybrid-Analysis.com分析样本

当前批处理中的重复Imphash > 帮助你发现导入哈希表中的重复项

安装

1.下载/克隆存储库

2.安装所需软件包:pip3 install -r requirements.txt(如果是macOS则再添加一个–user参数)

3.(可选:–intense模式需要)下载PhantomJS并将其放入$PATH,例如/usr/local/bin http://phantomjs.org/download.html

4.在munin.ini文件中,为不同的服务设置API密钥

5.首次运行使用demo文件:python munin.py -f munin-demo.txt –nocache

典型的命令行使用

处理Virustotal Retrohunt结果,并在检查之前对行进行排序,以便在块中检查匹配的签名:

python munin.py -f my.ini -f ~/Downloads/retro_hunt

处理IOC文件,并显示在Virustotal上对这些样本发表评论的人(使用PhantomJS,CPU使用率会更高):

python munin.py -f my.ini -f ~/Downloads/misp-event-1234.csv --sort --intense

处理样本目录并在线检查其哈希值:

python munin.py -f my.ini -s ~/malware/case34

获取Munin使用的API密钥

Virustotal

1.在此创建一个帐户: https://www.virustotal.com/#/join-us

2.在Profile > My API key中获取你的public API key。

Malshare

在这里注册: https://malshare.com/register.php

Hybrid Analysis

1.在此创建一个帐户: https://www.hybrid-analysis.com/signup

2.登录,并在Profile > API key中获取密钥。

*参考来源: github ,FB小编 secist 编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

为你推荐:

查看所有标签

码农书籍
编程语言:原理与范型

编程语言:原理与范型

图科 / 李德龙 / 清华大学 / 2008-1 / 68.00元

本书第1版自1999年出版以来,编程语言的研究已得到迅猛发展。为此,新版尽量贴近现今的发展趋势,以适应当前和未来编程语言设计过程中所伴随的新挑战。本书除了进一步提高了4种程序设计范型及其所用的语言的广度和深度外,还大大丰富了关于语言设计原理的内容,并新增了如Python、Perl这类编程语言的例子。本书主要结构第一部分:原理。第2、4、5、7、9章分别讲述了编程语言的5个核心原理(语法、名称、类型、语义和函数)。第3、6、8、10、11章加深对这些主题的阐述。第二部分:范型。包含4个主要的程序范型。其中,第12章是全新内容,主要讲解了在C、Ada和Perl这3种不同的语言中命令式编程的关键特点。第13章在第1版的基础上进行了较多的改写,主要使用Java、Smalltalk和Python来研究面向对象语言的特点。第14章和第15章分别对函数式编程和逻...

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具