- _________ _ _ ______ _____ ______
- | | | | | \ | | | | | | \ \ | | | | \ \
- | | | | | | | | | | | | | | | | | | | |
- |_| |_| |_| \_|__|_| |_| |_| _|_|_ |_| |_|
- Online Hash Checker for Virustotal and Other Services
- Florian Roth
munin 是一个依据文件 Hash, 从各种在线恶意软件扫描服务提取信息的工具.
当前 Munin 查询支持以下服务:
- Virustotal
- Malshare
- HybridAnalysis
注 :Munin 是基于 "VT-Checker" 脚本的, 该脚本目前在 LOKI 存储库进行维护.
截图
使用
- usage: munin.py [-h] [-f path] [-c cache-db] [-i ini-file] [-s sample-folder]
- [--comment] [-p vt-comment-prefix] [--download]
- [-d download_path] [--nocache] [--intense] [--retroverify]
- [-r num-results] [--nocsv] [--verifycert] [--sort] [--debug]
- Online Hash Checker
- optional arguments:
-h, --help 显示帮助信息并退出
-f path 要处理的文件(逐行哈希或以行为单位的哈希 csv 文件 - 自动检测位置和注释)
-c cache-db 缓存数据库文件的名称(默认为: vt-hash-db.pkl)
-i ini-file 包含 API 密钥的 ini 文件的名称
-s sample-folder 要处理的样本文件夹
--comment 对日志中包含注释的 analysed hash 发表评论
-p vt-comment-prefix Virustotal 注释前缀
--download 从 Hybrid Analysis 中启用样本下载
-d download_path Hybrid Analysis 中用于样本下载的输出路径. 文件夹必须存在
--nocache 不使用缓存数据库文件
--intense 使用 PhantomJS 解析永久链接(用于提取用户对样本的注释)
--retroverify 在运行结束时仅检查具有相同注释的 40 个条目(retrohunt 验证)
-r num-results 验证结果的数量
--nocsv 不要将结果写入 csv 文件
--verifycert 验证 SSL/TLS 证书
--sort 对输入行进行排序(对 VT retrohunt 结果非常有用)
--debug 调试输出
特性
模式 A: 从任意基于正则表达式的文本文件中提取哈希值
模式 B: 遍历样本目录并在线检查哈希值
通过 API(JSON 响应)从 Virustotal 检索有价值的信息, 并通过永久链接 (html 解析) 获取其他信息
保存历史记录(缓存), 只对文本文件中多次出现的散列查询服务一次
被存储在 JSON 中的缓存对象
使用结果创建 CSV 文件, 以便于后续的处理和报告
如果可用, 将结果追加到之前的 CSV 文件中
提取信息
哈希和注释
基于用户定义的列表进行匹配的 AV 供应商
在野使用的文件名
来源: http://www.tuicool.com/articles/ZzyuEbb