VirusTotal Intelligence Introduction_virustotal的架构和组成-CSDN博客

本文链接：https://blog.csdn.net/kitsch0x97/article/details/144191869

0. 内容概述

| 功能                        | 标准层级                     | Threat Hunter PRO 层级     |
|-----------------------------|-----------------------------|---------------------------|
| 哈希值查询                   | 从数据起始时间起（无限制）    | 从数据起始时间起（无限制） |
| 高级搜索                     | 过去90天                      | 过去1年                    |
| 历史追踪（Retrohunt）        | 过去90天（每次任务最多10K匹配）| 过去1年（每次任务最多10K匹配）|
| 内容搜索（VTGREP）           | 过去90天                      | 过去1年                    |

VirusTotal Intelligence 允许您在我们的数据集中进行搜索，以识别符合特定标准的文件（如哈希值、杀毒软件检测结果、元数据、提交文件名、文件格式结构特性、文件大小等）。我们可以将其看作是恶意软件的“谷歌”。为了方便使用该应用程序，我们将搜索查询和修饰符分类为以下几类：

Retrieving files by hash // 按哈希值检索文件
Search Operators // 搜索操作符
Example Use Cases // 示例用例
Identifying files according to antivirus detections // 根据杀毒软件检测结果识别文件
Search modifiers // 搜索修饰符
Content search (VTGrep) // 内容搜索（VTGrep）
File similarity search // 文件相似性搜索
URL search modifiers // URL 搜索修饰符
Domain search modifiers // 域名搜索修饰符
IP address search modifiers // IP 地址搜索修饰符
Results reports // 结果报告

我们还提供了用于批量下载文件的脚本和一些用例。

1. 通过哈希值检索文件

如果您有一个哈希值列表（例如从其他应用程序导出的列表），其中包含独立的哈希值类型（md5、sha1 或 sha256）以及它们是否混合，并且您想同时搜索所有哈希值，则应使用主登陆网站上的搜索框功能。您只需粘贴哈希值并按回车键即可。

2. 通过运算符检索文件

查询语言支持一些布尔操作符以及用于将查询部分分组的括号。支持的布尔操作符包括 AND、OR 和 NOT。默认情况下，当创建同时匹配多个字段的查询时，每个值会通过布尔 AND 进行组合，也就是说，查询中的所有指定值必须同时匹配。需要注意的是，操作符不能与直接的哈希值搜索（单个或多个）一起使用；若需要，您可以使用 API 脚本获取所有报告，然后通过修饰符进行筛选。

# AND Boolean operator
type:pdf AND tag:invalid-xref


# OR Boolean operator
type:pedll OR type:peexe

# NOT Boolean operator
engines:zbot NOT tag:corrupt


# Parentheses for grouping parts
(engines:zbot OR engines:sinowal) NOT (tag:corrupt)

3. 文件搜索示例

3.1 研究恶意

为了从 VirusTotal 中提取恶意 PDF 的研究数据，最简单的查询可能是：

type:pdf positives:5+

然而，这不是唯一的查询方式。许多带有漏洞的 PDF 文件会有无效的 XREF 表，因此可以使用类似以下的查询：

type:pdf tag:invalid-xref

另外，还可以结合其他标签来检索包含 JavaScript 且具有自动操作的 PDF，例如：

type:pdf tag:autoaction tag:js-embedded

如果我们只关心带有漏洞的 PDF，可以直接使用漏洞标签：

type:pdf tag:exploit

3.2 检索漏洞样本

可以通过以下方式简单地搜索带有漏洞的文件：

tag:exploit

更有趣的是，你可以根据特定的 CVE 标识符搜索样本：

tag:cve-2012-0158

3.3 识别潜在的误报

在杀毒领域，误报指的是杀毒软件错误地将一个无害的文件标记为恶意文件。尽管误报看起来无害，但它们可能会带来很多困扰。VirusTotal 可以帮助识别潜在的误报。例如，签名的 Portable Executable 文件如果检测数较少，可能是误报。假设我们想要查找 Symantec 可能误报的文件，可以这样查询：

tag:signed positives:3- symantec:infected

有时，孤立的检测也可能是误报（尽管并不总是如此）：

positives:1 symantec:infected

如果我们想查找那些被检测为恶意的文件且已经列入国家软件参考库（NSRL）或其他知名软件集合中，可以使用以下查询：

(tag:nsrl OR tag:software-collection) AND symantec:infected AND positives:10-

文件的上传源数量也能作为判断文件是否为无害的一个好指标。上传次数极多的文件通常是无害的（尽管并非总是如此）：

sources:2000+ symantec:infected

3.4 报告结果

在结果报告页面，您有多个选项：

查看匹配该搜索的资源数量。
按 首次看到时间、最后看到时间、比例、提交数或 文件大小 排序结果。
可以将哈希值复制到剪贴板，也可以下载选定的哈希值。
根据资源类型使用不同工具：发送到 VT Diff、在 VT Graph 中查看或计算公共特征。
提供相关文档链接。

这些操作能够帮助用户更加有效地进行分析和筛选结果，进一步优化恶意软件研究和检测的过程。