golang 日志分析_Saferwall:下一代开源恶意软件分析平台

最新推荐文章于 2024-05-19 09:37:02 发布
最新推荐文章于 2024-05-19 09:37:02 发布
阅读量241 收藏
点赞数
文章标签: golang 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31874577/article/details/112423241
版权

905994ad382bdab9c13225d7ed795a60.png

Saferwall

Saferwall是一款开源的恶意软件分析平台,该工具旨在给安全社区提供以下内容:

  • 为恶意软件研究人员提供共享样本的协作平台。

  • 帮助研究人员自动化生成恶意软件分析报告。

  • 寻找新的恶意软件的搜索平台。

  • 放行前对恶意软件质量和有效性提供保证。

1970d4784c6acd25917c814d60adf7c9.png

功能介绍

静态分析

  • 加密哈希,封装器识别;

  • 字符串提取;

  • 可执行文件分析器

支持主流反病毒厂商的AV扫描工具:

4f7b527de5e3288b8ce5f36013e8ed9a.png

工具安装

Saferwall利用了Kubernetes来实现其高可用性、可扩展性以及背后巨大的生态系统。你可以选择将Saferwall部署到云端并在Kubernetes中运行,你也可以将其部署到自己的服务器中进行托管。

为了方便广大用户部署、启动和运行生产级的Kubernetes集群,我们还使用了kops。该工具能够自动提供一个托管在AWS、GCE、DigitalOcean或OpenStack上的Kubernetes集群,或者也可以直接在裸机上运行。目前,AWS是Saferwall官方支持的平台。

工具架构/组件

  • Golang

  • 后端:

    Echo

  • 前端:

    VueJS + Bulma

  • 消息:

    NSQ

  • 数据库:

    Couchbase

  • 日志:

    FileBeat + ElasticSearch + Kibanna

  • Minio:

    对象存储

  • 部署:

    Helm+ Kubernetes

当前架构/工作流

297efd51ef563108e53dbe93ea85a4c4.png

下面给出的是文件扫描期间发生的基本工作流:

  • 前端通过restapi与后端通信。

  • 后端将样本上传到对象存储。

  • 后端将消息推入扫描队列。

  • 用户获取文件并将其复制到nfs共享,避免在每个容器上提取样本。

  • 通过gRPC调用异步扫描服务(如反病毒扫描器)并等待结果。

工具构建及部署

首先,使用下列命令将该项目的源码克隆至本地:

git clone https://github.com/saferwall/saferwall

使用一个Debian Linux系统,建议Ubuntu 18.04。并确保已正确安装了build-essential:

sudo apt-get install build-essential curl

将example.env改为.env,这个文件将存储项目的配置信息。

如需在AWS等云端环境部署和使用Saferwall,可以参考这篇【文档:https://github.com/saferwall/saferwall/blob/master/docs/BUILDING.md】。

构建AV镜像

编辑.env文件,并根据AV产品填写敏感凭据。

Eset:将许可证拷贝到./build/data/ERA-Endpoint.lic和.env中:

export ESET_USER = EAV-KEYHEREexport ESET_PWD = passwordhere

Avast:将许可证拷贝到./build/data/license.avastlic中;

Kaspersky:将许可证拷贝到./build/data/kaspersky.license.key中;

运行下列命令,构建并将Ducker Hub推送至所有AV:

make multiav-build
运行下列命令创建镜像,并构建一个gRPC守护进程来监听扫描任务:
make multiav-build-go
日志记录可以在Elasticsearch上看到:

项目地址

Saferwall:【https://github.com/saferwall/saferwall】

9946d29ab2a63b58ca1553aa695c6a49.gif

精彩推荐

9cca2601e1606726619366d20fdc56ce.png 404766d20f07d74066bf6c586efc69e2.png c693fcc4380c1d42927d98dfb6777337.png

25c868985273e8a885196f11aa052e7b.png

3e71a621ca1077d73f0025457eeb4c14.png

9fcb7570fdbc28865f5def78b6ba1115.png

f7e791efbc6a6528507329f25fa7c259.gif

江风有耳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
golang 日志分析_基于golang+lua的Web日志安全分析系统
weixin_42138525的博客
12-31 832
原标题:基于golang+lua的Web日志安全分析系统FBI-AnalyzerFBI-Analyzer是一个灵活的日志分析系统,基于golang和lua,插件风格类似ngx-lua。使用者只需要编写简单的lua逻辑就可以实现golang能实现的所有需求,跳转实现原理。现实中可作为WAF的辅助系统进行安全分析,跳转实例。可快速迁移waf中行为分析插件(非实时拦截需求,需要缓存计算数据的逻辑)至本系...
Python-CosaNostra是一个开源专注于恶意软件分析的集群工具包
08-12
Cosa Nostra是一个开源专注于恶意软件分析的集群工具包
golang入门项目—日志收集
qq_43716830的博客
04-18 3508
传统ELK架构的日志收集: 存在的问题:Logstash耗资源较大,运行占用CPU和内存高。另外没有消息队列缓存,存在数据丢失隐患。适用于小规模的集群使用。 第二种架构: 位于各个节点上的Log Agent先将数据/日志传递给Kafka,并将队列中消息或数据交由Log Transfer,传递给Elasticsearch存储。最后由Kibana将日志和数据呈现给用户。因为引入了Kafka,数据会先被存储下来,所以即使Logstash server因故障停止运行,数据也不会丢失。这种架构适合于较大集群使用
推荐开源项目:Log4j探测器 - 确保您的系统安全无虞
最新发布
gitblog_00050的博客
05-19 297
推荐开源项目:Log4j探测器 - 确保您的系统安全无虞 项目地址:https://gitcode.com/mergebase/log4j-detector 在信息安全日益重要的今天,对潜在漏洞的快速检测和应对显得至关重要。Log4j探测器 是一款专为此设计的开源工具,它能够帮助您检测并评估系统中是否存在易受CVE-2021-44228等高危漏洞影响的Log4j版本。这款强大的扫描器适用于Linu...
Zero Wine Tryouts:一个开源恶意软件分析工具-开源
07-03
Zero Wine Tryouts 是一款开源恶意软件分析工具。 只需通过网络界面上传您的可疑文件(例如 Windows 可执行文件、PDF 文件)并让其进行分析。 更多信息请访问项目网站:http://zerowine-tryout.sourceforge.net/
golang 日志分析_轻量级日志分析工具 GoAccess
weixin_35748508的博客
12-31 504
GoAccess是一款轻量级的日志分析工具,可以在服务器终端中显示实时分析日志,也可以导出为 html 通过浏览器进行查看。安装使用可以进行编译安装,$ wget https://tar.goaccess.io/goaccess-1.3.tar.gz$ tar -xzvf goaccess-1.3.tar.gz$ cd goaccess-1.3/$ ./configure --enable-utf...
golang 日志分析_技术干货:日志数据可视化分析展示平台的建设之路
weixin_29356815的博客
12-31 417
项目背景某企业是一家专注于车联网、视频CDN等应用技术的科技创新型企业,拥有智能车载、vsdn等多个业务系统。这些系统每天都会产生大量日志,以往的日志管理系统不能满足实时分析的需求。由于平台查询响应慢等原因,当某个系统出现问题时,所产生的日志数据无法被及时的查看,也就无法定位问题所在,造成业务人员有数据却用不起来的窘状。如何充分整合这些日志数据,充分挖掘其价值,是企业急需解决的问题。项目目标Dat...
golang_src_study:学习golang 1.5的src
05-11
go1.5 源代码分析 前言 动机两方面: 优化go程序免不了要了解一些实现细节,能看到的资源太零散(大牛可能觉得太简单?)。 go代码并不多,go.15 基本go实现,好读。但是和任何的应用代码相比,其各个方面细节都更加...
com2us_Golang_socketGameServer_CodeLab:使用golang制作实时通讯游戏服务器的实践
05-08
golang_socketGameServer_codelab 使用golang制作实时通讯游戏服务器的实践。 了解如何通过一一编码每个服务器的原始代码来创建服务器。 在编码时,请倾听解释如何以及为什么实现该代码。 可能有一个错误。 请认为...
golang_runtime_reading:golang 1.10.2运行时代码阅读-golang runtime元分析。只有思考过,你才会印象深刻
02-05
了解golang runtime的运行原理,重点掌握golang的调度,gc,内存分配,数据结构。 对于注释不理解的,欢迎提issue 。 目前的进度 2018-08-05已阅读完调度系统的大概源码 2018-08-12正在仔细阅读调度的源码 2018-08-...
golang_api_skeleton:用Go语言编写的一个简单的API框架
05-06
Golang API骨架 用Go编写的简单API框架,其中预先配置了指标 包括 依存关系 码头工人 Docker撰写 配置 Docker撰写 已预配置proxy_pass Nginx 原料药 MongoDB的 雷迪斯 普罗米修斯 Prometheus推送网关 格拉法纳 跑步...
freki:恶意软件分析平台
02-05
Freki是一个免费的开源恶意软件分析平台。 目标 促进恶意软件分析和逆向工程; 为不同的项目提供易于使用的REST API; 易于部署(通过Docker); 允许社区添加新功能。 当前功能 哈希提取。 VirusTotal API查询。 PE文件的静态分析(标题,节,导入,功能和字符串)。 与Yara进行模式匹配。 Web界面和REST API。 用户管理。 社区评论。 下载样本。 查看我们的以获取更多详细信息。 提出一个以提出新功能。 欢迎所有贡献。 如何获取源代码 git clone https://github.com/crhenr/freki.git 演示版
GoWall:GoWall 是用 GoLang 制造的防火墙,它使用 IPTables 作为主干,其想法是允许轻松快速地配置 IPTables
06-05
围墙 GoWall 是用 GoLang 制作的防火墙,它使用 IPTables 作为主干,其想法是允许轻松快速地配置 IPTables。 汇编 编译很简单! 构建并运行它! $ go build $ ./main config.json 示例配置 [ { " iface " : " eth0 " , " proto " : " udp " , " port " : 53 , " allow " : [ " 8.8.8.8 " , " 8.8.4.4 " ] } ] 此配置仅允许来自源 IP“8.8.8.8”和“8.8.4.4”的 UDP 数据包到端口 53。
iSafer Firewall-开源
05-02
iSafer防火墙用于保护您的PC免受间谍软件,垃圾邮件的侵害。 这也是软件开发人员了解防火墙基础知识的一个很好的例子。 注意:请访问http://isafer.sourceforge.net以查看更多信息。
saferwall:适用于21世纪的可入侵的恶意软件沙箱
04-29
Saferwall是一个开源恶意软件分析平台。 它旨在实现以下目标: 提供一个协作平台,以在恶意软件研究人员之间共享样本。 充当系统专家,以帮助研究人员生成自动化的恶意软件分析报告。 寻找新恶意软件的狩猎平台。 发布前签名的质量保证。 特征 静态分析: 加密散列,封隔器识别, 字符串提取 多个AV扫描仪,其中包括主要的防病毒软件供应商: 供应商 地位 供应商 地位 阿瓦斯特 :check_mark: FSecure :check_mark: 阿维拉 :check_mark: 卡巴斯基 :check_mark: 比特卫士 :check_mark: 迈克菲 :check_mark: ClamAV :check_mark: 索福斯 :check_mark: 科莫多 :check_mark: 赛门铁克 :check_mark: ESET :check_mark: Windows Defender的 :check_mark: 趋势科技 :check_mark: 博士网 :check_mark: 安装 Saferwall
汇丰软件java笔试题目-Backend-NodeJS-Golang-Interview_QA:NodeJS和GolangBackend面试问
06-17
是一个开源、跨平台的JavaScript 运行时环境,可以在浏览器之外执行 JavaScript 代码。 Node JS 的创建者 Ryan Dahl 是一名软件工程师,也是 Node.js JavaScript 运行时的原始开发人员。 如何避免回调地狱? 有很多...
saferwall搭建
u014610970的博客
12-10 564
官方给出的安装流程 流程的连接放在这https://github.com/saferwall/saferwall/blob/master/docs/DEPLOYING-DEV.md 开始自己的安装 1、创建一个ubuntu 20.04的VM虚拟机 安装虚拟机的方法百度上有很多,这里直接跳过这一步; 系统安装好之后安装vmtool,百度的教程很多,同样也跳过; 使用sudo passwd root命令获取root权限; 将apt更新源更换成清华大学的源; 进入root账户,使用apt-get update检查
开源安全分析平台
weixin_30701575的博客
06-03 275
https://max.book118.com/html/2017/0716/122535694.shtm 转载于:https://www.cnblogs.com/diyunpeng/p/10965947.html
Golang驱动的长连接实践:滴滴打车案例分析
作者黄欣,来自基础平台-架构部,首先阐述了采用长连接服务的背景,包括业务需求如大量实时计算、司机乘客撮合、高频数据交互等,这些场景需要高效、稳定的双向通信,而Golang因其开发效率高、异步模型和内存管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值