Triage沙箱监控

最新推荐文章于 2025-05-08 16:45:00 发布
最新推荐文章于 2025-05-08 16:45:00 发布
阅读量388 收藏
点赞数
分类专栏: 安全开发 文章标签: Triage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/134419973
版权

Triage沙箱可以免费分析恶意软件样本。最先进的恶意软件分析沙箱,具有您需要的所有功能。

在可定制的环境中提交大量样本,并对许多恶意软件系列进行检测和配置提取。立即查看公开报告并对您的恶意软件进行分类!

官方网址:https://tria.ge/
在这里插入图片描述

监控该沙箱结果产出的python代码如下:

import requests
import datetime
from bs4 import BeautifulSoup
import hashlib
import random
import json
import time
import os
import re

user_agent = {
              "User-Agent": 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36'
             }
#proxies = {'https': '127.0.0.1:7890'}
proxies = {}
write_file = 'triage_ioc.txt'

def get_webcontent(url):
    
    try:
        response = requests.get(url,proxies=proxies,headers=user_agent,timeout=10)
        if response.status_code == 200:
            soup = BeautifulSoup(response.text, "html.parser")
            return soup
    except requests.exceptions.RequestException as e:
        print("[ERROR]:Fail to get WebContent!", e)
        return False
            

def parse_sample_class(element):

    sample_class = []
    temp = element.split('span class=')
    if len(temp)<2:
        return sample_class
    else:
        for str in temp:
            if str.find('span')!=-1:
                sample_class.append(str.split('">')[-1].split('</')[0])
        return sample_class
        
def get_sample_c2(sample_id):
    
    sanbox_url = 'https://tria.ge/' + sample_id
    print(sanbox_url)
    soup = get_webcontent(sanbox_url)
    if soup == False or None:
        return []
    temp = soup.find_all("span", class_="clipboard")
    regex = re.compile('(?<=title=").*?(?=")')
    c2 = regex.findall(str(temp))
    return c2
   
def download_from_url(url,save_file):
    
    try:
        response = requests.get(url,proxies=proxies,stream=True,timeout=8)
        if response.status_code == 200:
            with open(save_file, "wb") as f:
                for ch in response:            
                    f.write(ch)
                f.close()          
    except requests.exceptions.RequestException as e:
        print("Error downloading file:"+save_file, e)
        
def write_to_file(str):

    with open(write_file,'a',encoding='utf-8') as d:
        d.write(str+'\n')
        d.close

def parse_triage():        
    
    soup= get_webcontent('https://tria.ge/reports/public')
    if soup == False:
        return
    #print(soup)
    #print('——————————————————————————————————————————————————————')
    
    createtime = soup.find_all("div", class_="column-created")
    hash = soup.find_all("div", class_="column-hash")
    filename = soup.find_all("div", class_="column-target")
    fileclass = soup.find_all("div", class_="tags nano")
    score = soup.find_all("div", class_="column-score")
    regex = re.compile('(?<=data-sample-id=").*?(?=")')  #提取href=""之间的url链接
    sample_id = regex.findall(str(soup))
    
    i = 0
    while i<len(createtime):
    
        if str(score[i]).find('Running')!=-1 or str(score[i]).find('Submission')!=-1:
            i = i + 1
            continue
            
        create_time = str(createtime[i]).split('">')[-1].split('</')[0]
        print(create_time)
        
        file_name = str(filename[i]).split('title="')[-1].split('">')[0]
        print(file_name)
        
        sha256 = str(hash[i]).split('clipboard="')[-1].split('"')[0]
        if sha256.find('<div class=')==-1:
            print(sha256)
        else:
            print("")
            
        file_class = parse_sample_class(str(fileclass[i]))
        print(file_class)
        
        sanbox_score = str(score[i]).split('">')[-1].split('</')[0]
        print(sanbox_score)
        
        print(sample_id[i])
        
        if sanbox_score!='' and int(sanbox_score)>=8:
            c2 = get_sample_c2(sample_id[i])
            print(c2)
        
        if sanbox_score!='' and int(sanbox_score)>=8:
            if len(sha256) ==64:
                write_to_file(sha256)
            if c2!=[] and len(c2)<5:
                for domain in c2:
                    write_to_file(domain)
        
        #if len(sha256) ==64:
            #print('Download sample:',sha256)
            #download_url = 'https://tria.ge/samples/' + sample_id[i] +'/sample.zip'
            #save_file = './sample/' + sha256
            #download_from_url(download_url,save_file)
        
        #input()
        
        time.sleep(10)
        
        print('--------------------------------------------------------------------------------------------')
        
        i = i + 1

        
if __name__ == "__main__":

    if not os.path.exists('sample'):
        os.makedirs('sample')
        
    while 1:
        parse_triage()
        time.sleep(300)
        print(datetime.datetime.now())
Virut感染型病毒查杀工具
摔不死的笨鸟的博客
08-25 2915
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒。 下面是自己写的Virut一款感染型病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。 // VirutRemoveTool.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #define BYTELENGTH 1024 int Restor
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 2110
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
沙盒syscall监控组件:strace and wtrace
七夜的博客
03-09 747
前言 良好的习惯是人生产生复利的有力助手。 本公众号已经写了3年多了,期间时断时续,时常被事情打断,甚是烦恼。 最近在看一些时间管理方面的书,发现其实很多事情都是可以安排清楚,关键在于固定的时间,固定的投入,形成习惯,成为良性循环。 成为习惯之后,一切就会水到渠成,2020 年慢慢来,本公众号内容还是以安全为主,倾向于攻,会夹杂开发和算法的知识。 本公众号之后的分享以专题的形式出现,确定一个专...
如何在沙箱环境中进行有效的网络监控
图幻未来的博客
01-05 468
然而,我们也应该注意到的是虽然借助沙坑等技术手段能大大降低某些情况下安全事故的风险但它并不能完全消除所有潜在的危害因素反而可能会带来一定程度的负面影响 比如恶意黑客可能会选择利用这个隔离层展开进一步的攻击行动 或者某些无意识的误操作也可能导致难以预料的损失出现 等状况的存在使得单纯依靠传统的网络安全监控和管理模式已经不再足够满足实际工作需要 因此必须寻求更为全面科学的方法来实现更加有效的综合管理和安全防护体系。2. **制定合适的安全策略和标准**2. **沙箱技术在网络安全中的重要性**
在线沙箱网站 在线恶意文件监测网站 病毒在线监测网站 apk分析在线网站
ShenZ的博客
07-29 9384
https://www.joesandbox.com/#windows 沙箱 https://www.hybrid-analysis.com/ https://habo.qq.com/index 腾讯哈勃分析,会把恶意行为列出来,如果测出函数也会列出来,我常常用来看apk啥的。 https://www.virscan.org/language/de/ 只能传20M以内的文件 ...
专业级沙箱与恶意样本的自动化分析
京东科技开发者
09-25 1388
云妹导读:沙箱的英文为sandbox,也被译作沙盒,通常用来为一些来源不可信、具破坏力或无法判定其意图的程序提供一个隔离的运行环境,甚至很多专业级的沙箱,本质就是一个增强的虚拟机。沙箱...
软件沙箱技术 – 安全分析沙箱Cuckoo Sandbox
热门推荐
abcd1f2的专栏
01-15 1万+
1.Cockoo的功能 Cockoo Sandbox是开源安全沙箱,基于GPLv3。目的是恶意软件(malware analysis)分析。使用的时候将待分析文件丢到沙箱内,分析结束后输出报告。很多安全设备提供商所谓云沙箱是同类技术,一些所谓Anti-APT产品也是这个概念。和传统AV软件的静态分析相比,Cuckoo动态检测。扔到沙箱的可执行文件会被执行,文档会被打开,运行中检测。和不少开源
AutoGen 框架解析:微软开源的多人 Agent 协作新范式
最新发布
shuizhudan223的博客
05-08 1087
AutoGen 框架通过多智能体对话、代码执行、灵活扩展等特性,为复杂任务的自动化协作提供了高效解决方案。降低开发门槛:无需复杂编排,通过自然语言即可构建多 Agent 系统。提升任务效率:动态协作与代码执行能力,显著缩短开发周期。适应多样化场景:从软件开发到数据分析,覆盖企业级需求。未来,随着 AutoGen v0.4 的持续迭代(如跨语言支持、社区扩展),其在 AI Agent 领域的影响力将进一步扩大,成为构建智能应用的首选框架之一。参考资料AutoGen 官方文档。
沙箱环境链接
柚子哥哥i的博客
07-02 276
https://openhome.alipay.com/platform/appDaily.htm
恶意软件分析在线沙箱链接(国内)
weixin_50005008的博客
04-11 4783
1.微步云沙箱 : https://www.threatbook.cn/product/sandbox 微步云沙箱是一个非常全面的云沙箱,目前体验最佳,UI现代化,有多引擎检测、行为签名、执行流程、进程详情、威胁情报IOC等功能。 2.瑞星智能沙箱分析系统:http://ep.rising.com.cn/wangguan/19584.html?renqun_youhua=163136 3. 哈勃沙箱:https://s.tencent.com/files/habo-white-paper.pdf,htt
安装不再支持的python2.7开发环境
摔不死的笨鸟的博客
07-01 5865
这里写自定义目录标题python2.7安装pip安装Pylint python2.7安装pip Python 2.7.9 + 或 Python 3.4+ 以上版本都自带 pip 工具。 安装Pylint pylint主要用来检查代码的正确性和规范性,防止有明显的语法错误。 python.exe -m pip install -U "pylint<2.0.0" --user ...
加解密与编解码基础知识
摔不死的笨鸟的博客
09-06 2476
BASE64编码 26个大写英文字母 26小写英文字母 10数字 ”+””/” 转换前 10101101,10111010,01110110 转换后 00101011, 00011011 ,00101001 ,00110110 十进制 43 27 41 54 对应码表中的值...
实现IDApython自动化加载模块PDB
摔不死的笨鸟的博客
07-24 1583
分析IDA加载PDB的过程分析 正常的 File---->LoadFile-----PDBfile操作的实质: 本文的目的就是去除手动操作,实现IDApython自动加载PDB的脚本程序。 IDA加载PDB有两种方式:一、使用vc\msdia90.dll这个DIA的API接口函数(优先) 二、使用Dbghelp.dll中的函数。(备用方式,老版本用) 图中可以看到必须安装VC2008可再发行的x64安装包第一种方式才会成功。这里是用的是第二种PDB加载方式——dbghelp加载方式。而且过程中出
GandCrab4.0勒索病毒解密工具
摔不死的笨鸟的博客
09-21 1395
GandCrab介绍 GandCrab是由一个十分猖狂的团队研发的勒索软件病毒,2018年开始活跃,一年内勒索了将近20亿美元。2019年可谓臭名远扬的勒索软件之王:GandCrab背后的运营团队在俄语论坛中发表官方声明称,GandCrab勒索病毒将停止更新。 为什么停止更新了呢?答案竟是,钱赚够了。然而这么猖狂的犯罪团伙,至今都没有被找到幕后团伙是谁。这就是GandCrab勒索软件的神奇传说。 今天分享就分析个去年写的GandCrab v4.0工具。 GandCrab勒索软件分析 白名单目录: \Pr
Yara引擎编译和发布
摔不死的笨鸟的博客
08-05 1348
我们自己设计软件时有很多情况都需要集成yara引擎 项目-管理NuGet程序包,下载几个包并安装 确保是git上最新代码即可编译 package目录下的include和lib是自动添加到项目中的。 发布时要注意除了yara编译需要依赖的jansson、libcrypto、libssl这几个库,把libyara编译好放一块。 除了需要的jansson.h和jansson_config.h,openssl以外,包含yara.h和yara项目中用到的头文件。 ...
Windows驱动开发与调试
摔不死的笨鸟的博客
09-04 1332
配置目标: 1.VS2017+windows10.0.16299+WDK驱动开发机(虚拟机) 2.虚拟机WIN7 sp1驱动测试机 3.win10实体机windbg调试WIN7sp1驱动测试机 实际专业的驱动开发1和3是同一台实体机,也就是在实体机上编译和调试虚拟机内的驱动,如果驱动更加涉及底层,测试机也必须要用实体机,使用物理串口连接调试。 这里选择分开的原因是驱动开发机要编译的是Rootkit驱动,可能会损害实体机。是为了更加安全的一种防护措施,第二是方便以后移植直接拷贝虚拟机镜像文件就可以开发了。 驱
vx-underground样本文件快速获取方法
摔不死的笨鸟的博客
07-14 1200
python爬虫
python按位取反的问题
摔不死的笨鸟的博客
07-07 1092
python按位取反
Makefile常见错误日志及解决方法
摔不死的笨鸟的博客
12-26 1056
错误日志:/usr/bin/ld: cannot open output file build/config: No such file or directory。错误日志:fatal error: tcpd.h: No such file or directory.解决方案:安装libwrap0-dev(Debian 上的名称)解决方案:新建build目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值