iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 10
0
Security

30天蜜罐品嘗系列 第 10

[Day 10] 30天蜜罐品嘗 : YALIH Part 2

昨天安裝了大部分的套件,今天要繼續安裝YARA,我們會用YARA做行為和模式比對。首先安裝一些必需套件

#sudo apt-get install g++ autoconf automake libtool python-dev libpcre3-dev libpcre3 make gcc flex bison
#pip install psutil
#pip install tldextract

目前從YALIH下載的版本是Yara 3.9.0,使用以下指令

#cd req
#tar -xzvf 3.9.0.tar.gz
#cd yara-3.9.0
#./build.sh
#./configure
#make
#sudo make install

完成後用以下指令確認安裝完成

make check

因為我們是要用Python來使用YARA,必須安裝yara for python

#cd yara-python
#python setup.py build
#python setup.py install
#echo "/usr/local/lib" >> /etc/ld.so.conf
#ldconfig

或者直接用

pip install yara-python

安裝python-magic

#pip install python-magic

也可以直接從網頁上下載安裝,選擇適合本機上python版本的python-magic版本
https://pypi.python.org/pypi/python-magic/
安裝適合的版本

#easy_install (your link)

安裝完畢後,記得往上回朔到yalih資料夾,先更新

#python honeypot.py --update

如果我們有個可疑的URL www.somelink.com ,那怎麼用YALIH去研究它呢?首先使用

#python honeypot.py --url www.somelink.com

如果是很多URL我們不需要一個一個 輸入,可以直接讀取一個存有各個URL的文件

#python honeypot.py --file /opt/somefile-that-contains-a-list-of-suspecious-URLs.txt

在client honeypot跑的時候,可以看到它試著存取網站URL,並用ClamAV去掃描。
https://ithelp.ithome.com.tw/upload/images/20190926/20084806sbdnTYw1gn.png

初步安裝完成測試後,明天我們再來介紹測試YALIH進一步的功能,看YALIH怎麼檢視造訪的網站URL是否有問題。

「在戰場上什麼東西都是武器」--《火鳳燎原》


上一篇
[Day 9] 30天蜜罐品嘗 : YALIH (yet another low interaction honeyclient)
下一篇
[Day 11] 30天蜜罐品嘗 : YALIH Part3
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言