Mquery:一款带有Web前端的YARA恶意软件查询加速器

搜索特定恶意软件样本很困难?不用怕,今天给大家介绍一款名叫Mquery的工具,它带有友好的Web前端界面,可帮助大家迅速寻找到自己想要的恶意软件样本。多亏了我们的UrsaDB数据库,正是因为有了它,Mquery才可以在一眨眼的功夫给到你想要的数据。

工作机制

YARA的速度毋庸置疑,但是通过给定的数据签名来搜索大型数据库相对来说还是比较慢的。为了解决这个问题,我们实现了一个名叫UrsaDB的自定义数据库,它可以对结果进行预过滤,因此我们只需要运行YARA搜索一小段数据或代码即可:

工具安装(Docker)

建议大家使用docker-compose来构建项目源码:

git clone --recurse-submodules https://github.com/CERT-Polska/mquery.git
docker-composeup --scale daemon=3

其中“—scale daemon=…”指定的是选择或索引的同步进程任务数量。

注意:“docker-compose”必须支持docker-compose.yml v3语句,如果工具遇到问题,可尝试更新你的软件。

工具安装(手动)

1.运行ursadb数据库;

2.安装redis-server和Python2;

3.安装依赖组件:pipinstall-rrequirements.txt;

4.将config.example.py重命名为config.py,并对相关配置进行调整,设置单独的SECRET_KEY;

5.在Web服务器中搭建并设置Flask应用(webapp.py);

6.运行daemon.py(一个可以持续运行的脚本文件)。

工具使用

1.搭建环境,完成工具的安装;

2.在浏览器输入http://localhost:80/访问Web界面;

3.可在/var/lib/docker/volumes/mquery_samples/_data中查询主机托管的索引文件,可使用“docker image inspect mquery_samples”命令对样本进行调试;

4.打开Web接口,选择“admin”标签,点击“Index /mnt/samples”;

5.在索引过程中,当前运行进程可在“admin”标签下的“backend”部分查看到,ursadb也会定期在终端显示结果数据;

6.成功索引之后,你的文件将可被搜索到,切换到主标签页,上传相应Yara,例如:

ruleemotet4_basic: trojan
{
    meta:
        author = "psrok1/mak"
        module = "emotet"
    strings:
        $emotet4_rsa_public = { 8d ?? ?? 5? 8d?? ?? 5? 6a 00 68 00 80 00 00 ff 35 [4] ff 35 [4] 6a 13 68 01 00 01 00 ff 15[4] 85 }
        $emotet4_cnc_list = { 39 ?? ?5 [4] 0f44 ?? (FF | A3)}
    condition:
        all of them
}

* 参考来源:mquery,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

如何通过Smem命令行检查Ubuntu上的内存使用情况

如何检查Ubuntu Linux上的内存使用情况,我们可以安装并使用Smem内存报告工具来显示Ubutnu Linux系统上的内存使用情况。 Smem是一个命令...

25780
来自专栏zhangdd.com

CentOS 7.0 systemctl使用说明

centos 7.0  引入了很多心得特性,感觉比较大的是sytemctl 命令的使用。

6510
来自专栏JavaEdge

gitlab 账号注册及修改资料填写注册信息确认邮件

注册后邮箱会收到一封确认邮件,如果没有收到邮件,可能是被误判为垃圾邮件,请进入邮箱的垃圾箱进行查找。(目前无法收到邮件,请加群后,在群内@Tinker 进行激活...

34020
来自专栏后端技术探索

nginx常见面试题

Nginx的并发能力在同类型网页服务器中的表现,相对而言是比较好的,因此受到了很多企业的青睐,我国使用Nginx网站的知名用户包括腾讯、淘宝、百度、京东、新浪、...

21520
来自专栏大数据架构师专家

系统监控工具-glances

作为运维不仅要时时监控系统,还需要优雅的装13,当别人还在命令的小黑框里敲打那个top命令去查看系统性能的时候,我们带你使用web端监控系统性能

15540
来自专栏北京马哥教育

自动补全不算什么,一键直达目录才是终极神器

在命令行中切换目录是最常用的操作,不过很少有比一遍又一遍重复“cd ls cd ls cd ls ……”更令人沮丧的事情了。如果你不是百分百确定你想要进入...

37070
来自专栏用户2442861的专栏

Nginx初探

http://blog.csdn.net/xlgen157387/article/details/49781487

15030
来自专栏Java后端技术栈

Nginx初探

Nginx——Ngine X,是一款自由的、开源的、高性能HTTP服务器和反向代理服务器;也是一个IMAP、POP3、SMTP代理服务器;也就是说Nginx本身...

13230
来自专栏影子

Python之Django环境搭建(MAC+pycharm+Django++postgreSQL)

Python之Django环境搭建(MAC+pycharm+Django++postgreSQL)

21720
来自专栏ionic3+

解决ionic4编译过慢的问题

ionic4中编译一次需要几十秒,远比ionic3久,在Github上看有没有人反馈这个问题,发现还真的有,而解决方法是:

63500

扫码关注云+社区

领取腾讯云代金券