就在前幾天,VirusTotal發布了一個名叫Graph的新功能,該功能允許用戶以可視化的方式查看自己所提交文件之間的相關性。在這款工具的幫助下,用戶可以輕松地查看到文件所連接到的主機信息,以及文件之間的相關性等等。更重要的是,這個新工具不僅會提供給VirusTotal的高級智能平臺用戶,而且所有VirusTotal的用戶都可以它。
工具介紹
這款可視化工具基于VirusTotal的數據集實現,它可以查看到文件、URL地址、域名以及IP地址之間的關系,并且提供了非常方便的數據導航接口。
通過查看圖表中的每一個節點,用戶可以構建出一個數據網絡來查看每一個樣本之間的相關性。點擊圖中的節點后,你不僅可以看到每一個節點的所有相關文件或其他節點信息,你還可以添加標簽或查看VirusTotal Public或VirusTotal Intelligence的深度分析報告。
用戶可以直接訪問地址https://www.virustotal.com/graph/并提交已知哈希或進入分析頁面提交特定服務來使用VirusTotal Graph功能。在分析頁面中的下拉菜單中,有一個名叫“Openin VirusTotal Graph”的新選項,點擊了這個按鈕之后你將進入到Graph頁面。
進入Graph頁面后,你可以看到一個名叫“Root Node”的條目,點擊之后你可以查看到各種箭頭以及與樣本文件相關聯的信息。接下來,我們一起看一看一份惡意軟件樣本的文件相關性(Graph)。
下圖中包含了Root Node以及兩個與樣本相關的URL地址。
接下來,你可以雙擊每個節點來了解特定數據對象的詳細信息。雙擊之后,工具會展開顯示對象的相關性數據:
除此之外,你還可以雙擊下載下來的文件來尋找出特定文件的相關性信息,這樣一來,你就可以更加深入了解樣本文件,并查看到所有的相關數據、文件、域名和URL地址等信息。
標記對象并保存自定義Graph
除了查看文件的基本Graph圖之外,我們還可以自定義Graph。比如說,如果你想分析一個特定的惡意文件樣本,然后在研究的過程中給各種對象添加標簽,你就可以使用VirusTotal Graph提供的對象標記功能了。
你可以右鍵點擊一個對象然后添加標簽,如下圖所示,我們給一個特定文件對象添加了“Adware Downloader”標簽。
接下來,你可以點擊保存按鈕,然后將其保存為一個新的Graph。保存成功之后,你將得到一個用于訪問這個Graph的鏈接,你還可以將其共享給他人。
雖然新手用戶可能需要花一點時間來熟悉VirusTotal Graph的使用,但當你熟悉該工具之后,你就會發現它是一款非常實用的惡意軟件分析工具了。
為了更好地幫助大家了解該工具的使用,VirusTotal還提供了兩個使用演示視頻,感興趣的同學可以點擊觀看。
京公網安備 11010502049343號