virustotal

VirusTotal 是全球最大的免费在线查毒网站，提供免费的病毒，蠕虫，木马和各种恶意软件分析服务。现隶属于 Google 的母公司 Alphabet。

VirusTotal 使用非常简单，只需访问 http://VirusTotal.com 并将需要检查的文件拖放到其页面的任意位置上，VirusTotal 就会返回全球各大主流杀毒软件对该文件的扫描结果，供用户参考。

官网：www.virustotal.com

网站使用¶

Warning

用户可以通过上传文件或提供文件的hash、md5等指纹来分析文件。

用户上传的文件会被网站保存，因此如果文件比较敏感，可能包含隐私信息，建议仅提供md5值进行分析。

上传可疑文件
或先计算可疑文件md5值，输入md5值，然后回车
```
$ md5sum file
64d46708a56e58c4fb90e2067a9c69e6  file
```
结果红色表示文件扫描结果有异常，23个结果判定为恶意文件

结果绿色表示文件为正常文件

文件在数据库中没找到

Summary

对于一般的二进制可执行文件，如linux的各种命令，因为无法看到代码，所以可以用这个工具来检测命令是否可靠；

一般而言，检测正常的文件是可靠的；检测为恶意文件的，是一定有问题需要处理的；

一般linux的命令检测时一定是绿色正常状态，如果检测显示没找到，极大可能是命令被篡改或替换了，需要进行处理；

命令行¶

如果需要分析的文件比价多，可以选择使用命令行工具。

首先在github 下载合适的版本，这里选用的版本是 Linux64.zip，已经编译好的可以直接使用。

然后在官网申请API key，免费的API有一定限制，具体为:4 lookups / min，500 lookups / day，15.50 K lookups / month。

初始化vt，配置API key

$ vt init

计算文件md5值

$ md5sum file
729c4aa206c5dbc9155c637e932d3716  file

获取文件在virustotal数据库里的信息，信息比较多，这里提取文件id和最近分析的日期时间戳(timestamp)

$ vt  file -k 8895fe7b436db74a55632400e1308f7dbe9bc40f6bf131826c6dac93cc2b9306 729c4aa206c5dbc9155c637e932d3716 --include=_id,last_analysis_date
- _id: "66964f33944096af04986230615fd73df412b86eba18e5080600c32a64e7bd6a"
  last_analysis_date: 1622367166  # 2021-05-30 09:32:46 +0000 UTC

根据上步获取的文件id和时间戳，对文件进行分析，格式为 f-id-timestamp。结果信息很多，这里只提取最后的结论。

可以看到文件比较正常

$ vt analysis file f-66964f33944096af04986230615fd73df412b86eba18e5080600c32a64e7bd6a-1622367166 --include=stats
- stats:
    confirmed-timeout: 0
    failure: 0
    harmless: 0
    malicious: 0
    suspicious: 0
    timeout: 0
    type-unsupported: 13
    undetected: 61

这个文件分析显示有23杀毒软件判定该文件为恶意(malicious)文件

$ vt analysis file f-1ac786a43c8dec571b792377a5c2314a462f111095334075562e0f65613001fc-1669808402 --include=stats
- stats:
    confirmed-timeout: 0
    failure: 0
    harmless: 0
    malicious: 23
    suspicious: 0
    timeout: 0
    type-unsupported: 12
    undetected: 41

本文阅读量次
本站总访问量次