提取VirusTotal的扫描结果

最新推荐文章于 2023-11-30 17:15:07 发布
最新推荐文章于 2023-11-30 17:15:07 发布
阅读量554 收藏
点赞数
文章标签: c# json 爬虫
原文链接:https://my.oschina.net/ejoyc/blog/1377640
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

下午IDA了一下VirusTotalUploader2.2.exe, 发现有几个函数比较有意思,分项一下吧。

/*
author : iopfnx
date   : 2017-07-14
web    : https://my.oschina.net/ejoyc

msvc compile cmdline:
@cl /c /MT /Ox /D_WIN32 aaa.c
@link aaa.obj Wininet.lib advapi32.lib /machine:x86 /subsystem:console /OPT:REF /RELEASE /out:aaa.exe
*/
#include <windows.h>
#include <strsafe.h>
#include <Wininet.h>

#ifndef PAGE_SIZE
#define PAGE_SIZE  0x00001000
#endif

void* FwAlloc(int size)
{
    void* p = malloc(size);
    if (p!= NULL)
    {
        memset(p, 0, size);
    }
    return p;
}

void FwFree(void* p)
{
    free(p);
}

BOOL __cdecl 
OpenConnection(
    OUT HINTERNET* hInternetOpen, 
    OUT HINTERNET* hInternetConnect, 
    OUT HINTERNET* hOpenRequest, 
    IN  LPCWSTR ObjectName
    )
{
    BOOL   bRet = FALSE;
    HINTERNET hOpen; 
    HINTERNET hConnect;
    HINTERNET hRequest;

    hOpen = InternetOpenW(L"VirusTotal Uploader 2.2-beta", 
                          INTERNET_OPEN_TYPE_PRECONFIG, 
                          NULL, 
                          NULL, 
                          0);
    if (hOpen != NULL)
    {
        hConnect = InternetConnectW(hOpen, 
                                    L"www.virustotal.com", 
                                    INTERNET_DEFAULT_HTTP_PORT, 
                                    NULL, 
                                    NULL, 
                                    INTERNET_SERVICE_HTTP, 
                                    0, 
                                    0);
        if (hConnect != NULL)
        {
            hRequest = HttpOpenRequestW(hConnect, 
                                        L"GET", 
                                        ObjectName, 
                                        NULL, 
                                        NULL, 
                                        NULL, 
                                        INTERNET_FLAG_DONT_CACHE|INTERNET_FLAG_NO_AUTO_REDIRECT|
                                        INTERNET_FLAG_IGNORE_REDIRECT_TO_HTTP, 
                                        0);
                                        
            if (hRequest != NULL)
            {
                *hInternetOpen = hOpen;
                *hInternetConnect = hConnect;
                *hOpenRequest = hRequest;
                
                bRet = TRUE;
            }
            
            if (bRet == FALSE)
            {
                InternetCloseHandle(hConnect);
            }
        }
        
        if (bRet == FALSE)
        {
            InternetCloseHandle(hOpen);
        }
    }
    
    return bRet;
}

void __cdecl
CloseConnection(
    HINTERNET hInternetOpen, 
    HINTERNET hInternetConnect, 
    HINTERNET hOpenRequest
    )
{
    if (hOpenRequest)
    {
        InternetCloseHandle(hOpenRequest);
    }
    if (hInternetConnect)
    {
        InternetCloseHandle(hInternetConnect);
    }
    if (hInternetOpen)
    {
        InternetCloseHandle(hInternetOpen);
    }
}

BOOL __cdecl GetFileSHA1(IN PCWSTR FilePath, OUT WCHAR SHA1[])
{
    BOOL   bRet = FALSE;
    PUCHAR Buffer = NULL;
    ULONG  BufLen = 0;  
    HANDLE hFile;

    hFile = CreateFileW(FilePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFile != INVALID_HANDLE_VALUE)
    {
        LARGE_INTEGER FileSize = {0};
        if (GetFileSizeEx(hFile, &FileSize) == TRUE && FileSize.QuadPart <= 0x100 * 0x100000 && FileSize.QuadPart > 0)
        {
            Buffer = (PUCHAR)FwAlloc(FileSize.LowPart);
            if (Buffer != NULL)
            {
                ULONG Length = 0;
                BufLen = FileSize.LowPart;
                if (ReadFile(hFile, Buffer, BufLen, &Length, NULL) == FALSE || BufLen != Length)
                {
                    FwFree(Buffer); 
                    Buffer = NULL;
                    BufLen = 0;
                }
            }
        }
    
        CloseHandle(hFile);
    }

    if (Buffer != NULL && BufLen > 0)
    {
        HCRYPTHASH phHash; 
        HCRYPTPROV phProv;
        DWORD  dwDataLen = (DWORD)BufLen; 
        PBYTE  pbData = (PBYTE)Buffer; 
        BYTE   byteSHA1[20] = {0}; 
        UINT   Index = 0;
        ULONG  Length = 20;

        if (CryptAcquireContextW(&phProv, NULL, NULL, PROV_RSA_FULL, CRYPT_VERIFYCONTEXT) == TRUE)
        {
            if (CryptCreateHash(phProv, CALG_SHA1, 0, 0, &phHash) == TRUE)
            {
                if (CryptHashData(phHash, pbData, dwDataLen, 0) == TRUE)
                {
                    if (CryptGetHashParam(phHash, HP_HASHVAL, byteSHA1, &Length, 0) == TRUE)
                    {
                        for (Index = 0; Index < 20; Index++)
                        {
                            StringCchPrintfW(SHA1+ Index * 2, 3, L"%02X", byteSHA1[Index]);
                        }

                        bRet = TRUE;
                    }
                }

                CryptDestroyHash(phHash);
            }

            CryptReleaseContext(phProv, 0);
        }
    }   

    return bRet;
}

BOOL __cdecl 
NetQueryVirusTotal(
    IN PCWSTR FilePath, 
    OUT PVOID* Info
    )
{
    HINTERNET hInternetOpen; 
    HINTERNET hInternetConnect;
    HINTERNET hOpenRequest;
    BOOL  bRet = FALSE;
    PVOID Buffer = NULL;
    ULONG dwBytesRead = 0;
    WCHAR szObjectName[0x100] = {0};
    WCHAR SHA1[48] = {0};

    if (GetFileSHA1(FilePath, SHA1) == TRUE)
    {
        StringCchPrintfW(szObjectName, 0x100, L"/vtapi/v2/file/report?apikey=%ws&resource=%ws",
                         L"f25133d9068704c23335fc39a7351828fa80c5dde894d731d5450cf8ab8569e8", SHA1);

        bRet = OpenConnection(&hInternetOpen, &hInternetConnect, &hOpenRequest, szObjectName);
        if (bRet == TRUE)
        {
            bRet = HttpSendRequestExW(hOpenRequest, NULL, NULL, 0, 0);
            if (bRet == TRUE)
            {
                bRet = HttpEndRequestW(hOpenRequest, NULL, 0, 0);
                if (bRet == TRUE)
                {
                    Buffer = FwAlloc(PAGE_SIZE * 4);
                    if (Buffer != NULL)
                    {
                        bRet = InternetReadFile(hOpenRequest, 
                                                Buffer, 
                                                PAGE_SIZE * 4 - 1, 
                                                &dwBytesRead);
                        if (bRet == TRUE)
                        {
                            *Info = Buffer;                        
                        }
                        else
                        {
                            FwFree(Buffer);
                        }
                    }
                    else
                    {
                        bRet = FALSE;
                    }
                }
            }
            
            CloseConnection(hInternetOpen, hInternetConnect, hOpenRequest);
        }
    }

    return bRet;
}

void __cdecl Format(char* data, char** ext)
{
    char* ptr = data;
    
    while (*ptr != 0)
    {
        if (*(PULONG)ptr == 0x22202c7d)
        {
            *(ptr+2) = '\n';
            ptr += 3;
        }        
        else if (*(PULONG)ptr == 0x202c7d7d)
        {
            *(ptr+3) = 0;
            *ext = (ptr + 4);
            ptr += 3;            
        }

        ptr++;
    }
}

int __cdecl wmain(int argc, WCHAR* argv[])
{
    CHAR* data = NULL;
    CHAR* ext = NULL;
    
    if (NetQueryVirusTotal(argc == 1 ? argv[0] : argv[1], &data) == TRUE)
    {
        if (strstr((char*)data, "\"scans\":"))
        {
            Format((char*)data, &ext);
        }

        puts(data);
        
        if (ext != NULL)
        {
            printf("[!] %s\n", ext);
        }

        FwFree(data);
    }

    return 0;
}

这就是从文件路径计算文件SHA1并向VirusTotal查询SHA1对应的信息的基本代码。

转载于:https://my.oschina.net/ejoyc/blog/1377640

weixin_33933118
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python实现将文件上传到virustotal获取报告
H4ppyD0g的博客
12-06 892
只需要根据需求修改上传的文件路径和文件名,并且注册使用自己的apikey。 import requests import json import urllib.parse import urllib.request def vs_test_file(vs_scan_url, vs_report_url, apikey, file_path, file_name): if file_path == "" or file_name == "": print("未选中文件")
Virustotal——上传样本保存扫描结果
Cwiky_1993的博客
07-26 2943
使用场景:有恶意文件的sha256,需要上传到Virustotal查看扫描结果 语言:Python 准备:sha256值的文件psha.txt       Virustotal的API KEY(申请一个账户,账户里面有【My API Key】) 注意:Virustotol.com的访问需要翻墙,我的Chrome浏览器安装了代理,所以headers参数的User-Agent是Chrome的版本
Python3 利用Virustotal API 获取json格式的分析报告
Cony_14的博客
01-07 1439
Python3 利用Virustotal API 获取json格式的分析报告 import requests import json import os API="" // your api file_md5="" headers = { 'x-apikey':API, 'Host': 'www.virustotal.com', 'range': 'bytes=equest', 'user-agent': 'curl/7.68.0', 'accept': '*/*
VirustotalAPI:这是实现Virustotal公共API 2.0的python库
05-17
病毒总API 此python模块可帮助您通过Virustotal公开API 2.0检查URL或文件是否是恶意的 您可以在获得更多信息 要使用此模块,您需要申请一个帐户并在获得一个公共api密钥。 相依性 python 安装 通过点子安装 pip install vtapi 通过git安装 cd /tmp git clone https://github.com/z-sean-huang/VirustotalAPI.git cd VirustotalAPI python setup.py install 卸载 pip uninstall vtapi 用法 ### examples作为命令工具: 帮助 python vtapi.py --help [-h] 网址报告 python vtapi.py google.com 文件报告 python vtapi.py /bin/pi
virustotal的使用
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
11-30 1229
该网站最有用的地方在于,这是一个交互式的恶意代码检测网站,这样的模式有一个隐形的福利,那就是为病毒木马爱好者提供了攻防一体的作战场景,开发者可以根据扫描结果二次开发。整个程序的所有操作都像是透明的,如同一个人脱光了衣服,并且被从肉体和精神上双重解剖,程序的所有操作,事无巨细都被记录下来。这些信息显示了程序的所有行为,以及对所有行为的高风险、中风险、低风险的判定,这里面有详细的信息。最有用的是BEHAVIOR选项卡中的信息。如上如所示,有72个病毒引擎的扫描结果。该网站有近百个病毒引擎的支持。
munin:用于Virustotal和其他服务的在线哈希检查器
05-22
Online Hash Checker for Virustotal and Other Services Florian Roth 什么是穆宁? Munin是一个在线哈希检查器实用程序,可从各种在线资源中检索有价值的信息 Munin的当前版本查询以下服务: 截屏 默认模式-从...
Senior-Project:chrome扩展程序,它在每个给定的网页上搜索链接,并将这些链接发送到Virus Total,并解释和输出结果
03-18
VirusTotal是一个由Google拥有的多引擎在线扫描平台,它可以分析可疑的文件和URL,以检测潜在的恶意活动。这个扩展程序的目的是增强用户的网络安全意识,帮助识别并预防可能的威胁。 **技术栈** 项目使用的主要...
malwoverview
03-28
Malwoverview 是用于威胁搜寻的第一响应工具,提供来自 Virus Total、Hybrid Analysis、URLHaus、Polyswarm、Malshare、Alien Vault、Malpedia、Malware Bazaar、ThreatFox、Triage、InQuest 的英特尔信息,并且能够...
Python_Malwoverview是用于威胁狩猎的第一响应工具,并提供来自病毒总混合分析URLHaus Polys.zip
最新发布
05-24
它会自动上传可疑文件到VirusTotal进行扫描,并将扫描结果返回给用户。这包括多个反病毒引擎的检测结果、文件的网络活动历史、域名信息和文件信誉评分,这些信息对于识别恶意软件是否已知和危险程度至关重要。 ...
VirusTotalDiscordBot-源码.rar
10-10
3. **VirusTotal接口模块**:处理与VirusTotal API的交互,包括文件上传和结果获取。 4. **Discord接口模块**:处理与Discord服务器的连接和消息交互,如接收命令、发送响应。 5. **辅助函数**:包含各种通用功能,...
vtchecker:一种快速脚本,可使用其免费api密钥帮助进行Virustotal IP查找
02-09
vtChecker版本1 快速的脚本,可使用其免费的API密钥来帮助进行Virustotal IP查找 该脚本旨在利用VirusTotal的免费API密钥并在提供的IP上提供intel查找,以提供以下信息: 潜在所有者/组织 IP地址的托管国 VirusTotal对给定IP地址进行的恶意检测数。 安装/运行 要正确运行脚本,您需要使用API​​ KEY和包含IP地址列表的文件名来更改脚本中的两个变量。 重要提示,然后才能运行脚本 IP列表文件必须为CSV格式(每行一个IP)。 建议将csv文件放置在程序的同一父文件夹中,以免引用整个路径。 使用公共api密钥的请求速率是4 /请求/分钟,500个请求/天和15,000个请求/月 如果您遇到json解码器错误,则可能意味着您已达到速率限制。 只需等待1分钟,然后重试脚本即可。 在脚本提示中放置文件名/ api键值: 文件名示例:如果
python实现封装得到virustotal扫描结果
12-25
本文实例讲述了python实现封装得到virustotal扫描结果的方法。分享给大家供大家参考。具体方法如下: import simplejson import urllib import urllib2 import os, sys import logging try: import sqlite3 except ImportError: sys.stderr.write("ERROR: Unable to locate Python SQLite3 module. " \ "Please verify your installation. Exiting
VirusTotal-Tools:将多个域提交到VirusTotal API
05-06
VT域扫描仪 获取每行包含域或IP的输入文件,并将其传递给VT API,然后将以下项目写入CSV。 通过此扫描程序放置的IP有效地进行HTTP / HTTPS检查,以查看直接IP连接是否有害。 最近扫描日期/时间 消毒域 非清洁检测的计数 总AV扫描 链接到扫描结果 exe版本 该脚本的Exe版本已针对CLI的使用进行了修改。 它将仍然将与脚本相同的信息写入CSV文件,该CSV文件将写入脚本运行的目录。 提示输入API密钥 密钥状态(公共/私人) 文件的文件路径 脚本先决条件 Python 3.x以上 VirusTotal API密钥 请求库 pip install requests 用例范例 扫描调查中的域列表 PiHole域每晚扫描 DNS日志域扫描 定期的网络流量扫描 功能请求和错误报告 请通过此项目的问题页面提交功能请求和错误报告。
蓝队工具:使用VirusTotal API校验样本
不忘初心,护天下安全!
06-07 995
VirusTotal,是一个提供免费的可疑文件分析服务的网站。2004年6月由创始人Hispasec Sistemas创立。与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件。使用多种反病毒引擎对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染。这样大大减少了杀毒软件误杀或未检出病毒的几率,其检测率优于使用单一产品。其反病毒引擎已经多达40种以上,但是也不能保证该网站扫描通过的文件就彻底无害,毕竟道高一尺,魔高一丈。事实上,没有任何一款软件可以提供100%的病毒和恶
VirusTotal api 在 python 中的 URL,域名使用
Utopia的专栏
03-13 3257
**URL** 发送并扫描URL 首先发送扫描一个url,要向https://www.virustotal.com/vtapi/v2/url/scan 发送一个http post 请求, 其中api 接受请求中的两个参数: url:要扫描的url apikey: 注册virus用户,登录后得到的public key。这是使用api的关键。 当进行批量扫描时候,其中url参数
全国大学生信息安全竞赛三等奖virusTotal论文展示
ITxiaoangzai的博客
05-16 3835
基于API调用行为的二进制通用脱壳方法 注:本人去年参赛的作品,欢迎大家对不足之处提出宝贵的意见,谢谢。 摘要 加壳技术被广泛应用于恶意代码的自我保护,用于对抗躲避反病毒软件的检测,使得反病毒软件检测率大大降低。所以设计一个能够自动化的通用脱壳系统具有重要的理论和现实意义。 基于上述动机,本文设计和实现了基于API调用行为的二进制通用脱壳系统。本系统利用加壳代码"先重建后调用"的AP...
virustotal上下载病毒样本
djph26741的博客
06-08 6645
#!/usr/bin/env python import os import csv #import Queue import zipfile import requests import argparse import multiprocessing # TODO: Don't hardcode the relative path? samples_...
python-封装得到virustotal扫描结果
小驹的专栏
05-30 1977
import simplejson import urllib import urllib2 import os, sys import logging try: import sqlite3 except ImportError: sys.stderr.write("ERROR: Unable to locate Python SQLite3 module. " \
ABAP下载的病毒扫描Virus Scan
weixin_34018202的博客
04-16 127
当我使用CL_HTTP_ENTITY=>IF_HTTP_ENTITY~GET_DATA从网络下载数据时,遇到异常CX_VSI: 错误原因是数据从网络下载到Netweaver服务器上之后,在服务器上针对实例ldai2ag3_AG3_56找不到对应的病毒扫描Profile。配置表名:vscan_server 从事务码SM51里能发...
VirusTotal深度分析:恶意软件调查与APT溯源
VirusTotal是谷歌旗下的一款多引擎反病毒扫描服务,它收集并分析恶意软件样本,为安全研究人员和执法机构提供工具来深入调查和缓解恶意活动的影响。手册将介绍新工具VTGrep和Graph的使用,并讨论如何最有效地利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值