[Plugin] 바이러스 토탈 프로세스 스캔 플러그인 (With Volatility)

메모리 이미지에서 원하는 프로세스를 선택하면 바이러스 토탈에 업로드하여 스캔 결과를 출력 해 주는 플러그인이다.

root@kali:~/Desktop# vol -f Windows --profile=WinXPSP2x86 malscan -p 1472

Volatile Systems Volatility Framework 2.1

------------------------------- --------------- ----------------------------------------

[!] Process to dump in the current directory.

[+] To start a process dump.

Process(V) ImageBase Name Result

---------- ---------- -------------------- ------

0x820f97b0 0x01000000 notepad.exe OK: executable.1472.exe

[+] Run the file to start uploading.

[+] Run the file upload is complete.

[+] File analysis...(About 3 minutes)

scan_id : 7941806c100d46d8bc0570f27d4d74f5bf3cedced26448d70d76a6590c14549f-1375761931

sha1 : d3333bd45366430fddc52d3ff901fd45bb0bd0d8

resource : c1a52510032fa6a3e16d5c075c5421a6

response_code : 1

scan_date : 2013-08-06 04:05:31

permalink : https://www.virustotal.com/file/7941806c100d46d8bc0570f27d4d74f5bf3cedced26448d70d76a6590c14549f/analysis/1375761931/

verbose_msg : Scan finished, scan information embedded in this object

sha256 : 7941806c100d46d8bc0570f27d4d74f5bf3cedced26448d70d76a6590c14549f

positives : 1

total : 46

md5 : c1a52510032fa6a3e16d5c075c5421a6

AV Name Detected Result

MicroWorld-eScan False None

nProtect False None

CAT-QuickHeal False None

McAfee False None

Malwarebytes False None

K7AntiVirus False None

K7GW False None

TheHacker False None

NANO-Antivirus False None

F-Prot False None

Symantec False None

Norman False None

TotalDefense False None

TrendMicro-HouseCall False None

Avast False None

ClamAV False None

Kaspersky False None

BitDefender False None

Agnitum False None

SUPERAntiSpyware False None

Emsisoft False None

Comodo False None

F-Secure False None

DrWeb False None

VIPRE False None

AntiVir False None

TrendMicro False None

McAfee-GW-Edition True Heuristic.BehavesLi...2.Suspicious-DTR.K

Sophos False None

Jiangmin False None

Antiy-AVL False None

Kingsoft False None

Microsoft False None

ViRobot False None

AhnLab-V3 False None

GData False None

Commtouch False None

ByteHero False None

VBA32 False None

PCTools False None

ESET-NOD32 False None

Rising False None

Ikarus False None

Fortinet False None

AVG False None

Panda False None

플러그인을 동작시키기 전에 바이러스 토탈에 API KEY가 필요하다. 해당 key는 바이러스 토탈에 가입 후 Profile 페이지로 이동하여 API탭을 보면 다음과 같이 자신만의 key를 확인 할 수 있다.

해당 key를 플러그인 상단에 있는 VT_API_KEY에 넣어주고 플러그인을 동작시키면 된다.

참고로 플러그인 동작시에는 -p 옵션을 필수적으로 지정해 주어야 한다.

malscan.py

저작자표시 비영리 변경금지

'[+] Information > [-] Python' 카테고리의 다른 글

[Plugin] 프로세스 커맨드라인 출력 플러그인 (With Volatility) (4)	2013.08.04
[plugin update 2013-08-01 20:18] 계정 정보 추출 플러그인 (with Volatility) (0)	2013.08.01
[Plugin Update 2013-07-31 16:50] 계정 정보 추출 플러그인 (with Volatility) (0)	2013.07.31
[Plugin] 페이스북 계정 추출 볼라틸리티 플러그인 with memory image (0)	2013.07.30

MaJ3stY

[Plugin] 바이러스 토탈 프로세스 스캔 플러그인 (With Volatility)

'[+] Information > [-] Python' 카테고리의 다른 글

티스토리툴바

[Plugin] 바이러스 토탈 프로세스 스캔 플러그인 (With Volatility)

'[+] Information > [-] Python' 카테고리의 다른 글

'[+] Information/[-] Python' Related Articles

티스토리툴바