Virusgotal

Virusgotal — кроссплатформенная cli утилита для работы с сервисом Virustotal. В браузер для получения информации ходить не потребуется, отправить файл или URL на проверку, а затем проверить результат можно прямо из командной строки.

Virusgotal.

virusgotal

Для установки, достаточно просто выбрать нужный бинарник на соответствующей странице, скачать его и закинуть в удобное место.

# wget https://github.com/moldabekov/virusgotal/releases/download/v.1.0.1/virusgotal-linux-amd64.zip
# unzip virusgotal-linux-amd64.zip
# mv virusgotal-linux-amd64 /usr/local/sbin/virusgotal

Для работы нам потребуется API ключ, его мы получаем в настройках профиля, после регистрации на virustotal.com. Экспортируем ключ в переменные окружения:

# export VT_API_KEY=a1b13825344ae124ffe4eab5236564d8744ab7541e6ef5d5fa809bdfc32ac93b

И отправляем файл на проверку:

# virusgotal file my-test-file 

Your file was submitted and scan was queued. Here are details:
sha256 hash: a54f75458a65651a9636108e433d1b734b140838cb9757f1eaebd1f309b7811
VirusTotal link: https://www.virustotal.com/file/a54f75458a65651a9636108e433d1b734b140838cb9757f1eaebd1f309b7811/analysis/1516784675/

Для получения результатов мы можем пройти по ссылке, а можем просто проверить статус сканирования по хешу:

# virusgotal hash a54f75458a65651a9636108e433d1b734b140838cb9757f1eaebd1f309b7811

Scan with given hash is still in progress

Через некоторое время статус изменится:

# virusgotal hash a54f75458a65651a9636108e433d1b734b140838cb9757f1eaebd1f309b7811

Given hash is KNOWN by VirusTotal and has no positive results
Direct link: https://www.virustotal.com/file/a54f75458a65651a9636108e433d1b734b140838cb9757f1eaebd1f309b7811/analysis/1516784675/

Вот так просто и быстро мы можем проверить нужный нам файл прямо на сервере, без загрузки его на ПК, в браузер и т. п.

Меня справедливо дополняют, что у утилиты есть дополнительные ключи для запуска, которые значительно упрощают жизнь. Так например, проверять файл по хешу не обязательно, можно просто выполнить его повторную проверку, утилита сама посчитает хеш и выдст результат по нему. Если файл хочется перепроверить, то нужно запустить virusgotal с параметром --force.

Что бы не перепроверять файл для получения результата самому, можно запустить утилиту с ключиком --wait, при этом, программа дождётся результатов проверки и покажет их. Для автоматизации и работы в скриптах удобно использовать ключ --json, который оформляет вывод в соответствующем формате.

@SysadminNotes | https://sysadmin.pm

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *