VirusTotal深度分析：恶意软件调查与APT溯源

"virustotal-for-investigators.pdf 是一份关于如何使用VirusTotal平台进行病毒分析和APT溯源的手册，由Brandon Levene、Juan Infantes、Jose Martin和Julio Canto共同编撰。VirusTotal是谷歌旗下的一款多引擎反病毒扫描服务，它收集并分析恶意软件样本，为安全研究人员和执法机构提供工具来深入调查和缓解恶意活动的影响。手册将介绍新工具VTGrep和Graph的使用，并讨论如何最有效地利用VirusTotal提供的数据。此外，还提到了改进的关系元数据和增强的回溯及前瞻性狩猎功能，这些功能使调查人员能够在全球数据源中深入研究恶意软件。 目标： 1. 学习如何使用VirusTotal Graph来可视化恶意软件活动。 2. 学习如何使用VirusTotal Intelligence识别有趣的恶意软件元数据。 3. 学习如何利用Yara进行主动和被动的威胁检测。 目标领域包括： - 工具的讨论和实践应用 - 静态数据转换 - 分面搜索 - VTGrep - VTGraph - YARA+VirusTotal扩展 VirusTotal Graph是VirusTotal提供的一个工具，它允许用户以图形化的方式查看恶意软件活动之间的关联，帮助分析不同样本之间的关系，揭示潜在的攻击链路和模式。 VirusTotal Intelligence则是一个强大的信息检索系统，它能够帮助用户挖掘有关恶意软件的深度信息，例如样本的出现时间、感染路径、相关联的IP地址、域名等关键元数据，这对于追踪APT（Advanced Persistent Threat）攻击尤其有用。 VTGrep是一个用于搜索VirusTotal数据库中特定模式或特征的工具，它可以帮助研究人员快速定位与特定行为或签名相关的恶意软件样本。 Yara是一种规则定义语言，可以用来定义恶意软件的特征。通过将Yara规则与VirusTotal结合，用户可以主动查找符合规则的新样本，也可以回顾历史数据，找出过去的匹配样本，从而实现回溯性与前瞻性的威胁检测。 这份手册将指导用户充分利用VirusTotal的各项功能，提升对恶意活动的洞察力，更有效地进行恶意软件分析和调查工作。"