Inhale是一款什么工具

小編給大家分享一下Inhale是一款什么工具，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

Inhale - Malware Inhaler

Inhale是一款針對惡意軟件的分析與分類工具，廣大安全研究人員可以利用Inhale來對惡意軟件中的很多的靜態(tài)分析操作進(jìn)行自動(dòng)化實(shí)現(xiàn)以及擴(kuò)大覆蓋范圍。請注意，當(dāng)前版本的Inhale仍處于測試階段（Beta版本），歡迎社區(qū)的各位大神貢獻(xiàn)自己的代碼。

從一開始，Inhale只是由一系列小型腳本組成，可以用來從各種惡意源收集和分析大量惡意軟件。雖然目前社區(qū)中有很多的框架和工具可以完成類似的工作，但是它們卻無法滿足我自己的工作流任務(wù)，比如說快速發(fā)現(xiàn)、分類和存儲(chǔ)大量惡意軟件相關(guān)的文件之類的任務(wù)。除此之外，也有很多服務(wù)要求購買API密鑰和其他服務(wù)，這也會(huì)花掉我們很多錢。

因此，我便打算將我自己收集和使用的腳本整合成一套工具，Inhale便應(yīng)運(yùn)而生，該工具的安裝和使用都分廠方便，你可以在一臺(tái)研究服務(wù)器中使用Inhale，也可以在自己的筆記本電腦上使用，甚至你還可以在樹莓派上使用Inhale。

工具安裝

該工具目前僅支持在Linux系統(tǒng)平臺(tái)上運(yùn)行，并且需要使用Python3、ElasticSearch、Radare2、Yara和Binwalk。除此之外，你還需要使用到j(luò)q來對數(shù)據(jù)庫中讀取出的輸出內(nèi)容進(jìn)行格式化。

Python3

安裝依賴組件：

python3 -m pip install -r requirements.txt

安裝ElasticSearch（Debian）

wget -qO -https://artifacts.elastic.co/GPG-KEY-elasticsearch| sudo apt-key add -sudo apt-get install apt-transport-httpsecho "debhttps://artifacts.elastic.co/packages/7.x/aptstable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.listsudo apt-get update && sudo apt-get install elasticsearchsudo service elasticsearch start

除此之外，你也可以設(shè)置一個(gè)完整的ELK棧來實(shí)現(xiàn)數(shù)據(jù)分析和可視化，但這對于該工具來說只是可選項(xiàng)而已。

安裝Radare2

需要注意的是，你需要從Radare2的GitHub庫來安裝Radare2，不要使用其他的包安裝工具。

git clonehttps://github.com/radare/radare2cd radare2sys/install.sh

安裝Yara

sudo apt-get install automake libtool make gccwgethttps://github.com/VirusTotal/yara/archive/v3.10.0.tar.gztar xvzf v3.10.0.tar.gzcd yara-3.10.0/./bootstrap.sh./configuremakesudo make install

如果你接收到了關(guān)于共享對象的錯(cuò)誤信息，可以嘗試運(yùn)行下列命令來進(jìn)行修復(fù)：

sudo sh -c 'echo "/usr/local/lib" >> /etc/ld.so.conf'sudo ldconfig

安裝binwalk

廣大用戶可以直接使用下列命令來安裝binwalk：

git clonehttps://github.com/ReFirmLabs/binwalkcd binwalksudo python3 setup.py install

工具使用

根據(jù)目標(biāo)類型來指定需要爬取和分析的文件：

-f infile-d directory-u url-r recursive url

其他選項(xiàng)

-t TAGS Additional Tags-b Turn off binwalk signatures with this flag-y YARARULES Custom Yara Rules-o OUTDIR Store scraped files in specific output dir (default:./files/<date>/)-i Just print info, don't add files to database

工具使用樣例

運(yùn)行inhale.py之后，將會(huì)對指定文件/目錄/URL地址來進(jìn)行分析，并將分析結(jié)果輸入在終端窗口。

查看/bin/ls內(nèi)容，但并不添加至數(shù)據(jù)庫中：

python3 inhale.py -f /bin/ls -i

添加目錄‘malwarez’至數(shù)據(jù)庫：

python3 inhale.py -d malwarez

下載目標(biāo)文件，并添加至數(shù)據(jù)庫中：

python3 inhale.py -u https://thugcrowd.com/chal/skull

下載遠(yuǎn)程目錄中的全部內(nèi)容，并標(biāo)記為“phishing”：

python3 inhale.py -r http://someurl.com/opendir/ -t phishing

Yara規(guī)則

你可以使用-y參數(shù)來設(shè)置你自己的Yara規(guī)則。

查詢數(shù)據(jù)庫

廣大研究人員可以使用db.sh來快速詢數(shù)據(jù)庫：

db.sh *something* | jq .

看完了這篇文章，相信你對“Inhale是一款什么工具”有了一定的了解，如果想了解更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！