昨天提到我們可以下指令讓YALIH這個client honeypot模擬存取網站URL的行為，藉此研究網站本身是否含有惡意程式。其實相關的資料除了在螢幕上外，也會處存在相關日誌中以供檢索。

首先跑以下指令，測試一個網站URL

#python honeypot.py --url www.msn.com

這裡發現YALIH模擬的順序，首先螢幕顯示client honeypot試著讀取一連串來自網站URL的js檔案；接著ClamAV開始掃描，確認有無病毒檔案；最後用YARA rule比對。但是這裡遇到一個問題，執行YARA時出現以下錯誤：

“yara: error while loading shared libraries: libyara.so.2: cannot open shared
object file: No such file or directory”

這是怎麼回事呢？上網爬文研究一下，發現是因為loader 找不到/usr/local/lib之下的libyara library ，在某些版本我們必須另外自行設定路徑，其實很簡單用以下指令把/usr/local/lib路徑加到/etc/ld.so.conf設定檔案即可：

#sudo echo "/usr/local/lib" >> /etc/ld.so.conf
#sudo ldconfig

重跑一次測試網站URL，這次我們不從螢幕讀取，改從日誌裡讀取結果。首先在/yalih資料夾內有一個名為scanlogs的資料夾。我們可以看到裡面有三個檔案：
Clam-report.log
Yara-report.log
Malicious-Websites.log

第一個Clam-report.log會顯示掃描結果，Yara-report.log則是顯示行為比對和模式比對結果，最後
Malicious-Websites.log則是將結果以網站順序列出。
如果想找更多關於模擬的資訊，在/yalih資料夾下有個debug資料夾，每次模擬的結果都會有相對應的日誌；如果想看更多運用YALIH的方法，可以用　—help去看各個不同指令

#python honeypot.py --help

關於YALIH的介紹就到這邊，希望能大家上手，也歡迎留言交流各種應用。

「黑暗已過去，光明就在眼前。」—《火鳳燎原》