Valhalla API客户端
valhallaA的Python项目详细描述
瓦尔哈拉皮
这个模块允许您与valhalla api交互,检索不同格式的yara规则,过滤它们并将它们写入磁盘。您可以在我们的网站上找到有关Valhalla的更多信息。没有python模块和客户机的过滤功能的web界面可以在这里访问。
它包含一个python模块valhalla api和一个python命令行api客户端valhalla cli
python模块
Web API允许您检索已订阅的规则。
python模块的3个主要功能是:
get_rules_text()以文本形式检索规则get_rules_json()以json形式检索规则get_rule_info()查询数据库以获取有关某个规则的信息(例如,样本散列、AV检测率)
该模块提供基于
- 标签
- 得分
- 关键词
- 支持的yara版本和必需的yara模块
它还允许您检索符合用于应用规则的产品的筛选规则集。例如,您可以通过筛选所有使用yara版本(高于受支持的1.7.0
Valhalla数据库中有两个用于特殊查找的额外功能(仅限客户):
获取规则信息检索规则信息和所有匹配的示例散列获取哈希信息检索与特定SHA256哈希匹配的所有规则
演示访问
有一个演示API密钥可用于测试目的。
1111111111111111111111111111111111111111111111111111111111111111
它将允许您检索已处理的公共签名集。
该键还允许您查询单个规则的规则信息,即:
Casing_Anomaly_ByPass
请注意,瓦尔哈拉有适当的保护机制,如果你尝试愚蠢的事情,会在相当长的时间内阻止你的双峰末端。
开始
pip3 install valhallaAPI
用法
获取服务状态(不需要有效的api密钥)
fromvalhallaAPI.valhallaimportValhallaAPIv=ValhallaAPI()status=v.get_status()
文本规则
获取所有已订阅的规则作为文本并将其保存到文件中
fromvalhallaAPI.valhallaimportValhallaAPIv=ValhallaAPI(api_key="Your API Key")response=v.get_rules_text()withopen('valhalla-rules.yar','w')asfh:fh.write(response)
或者使用demo api密钥,它允许您检索所有公共规则
fromvalhallaAPI.valhallaimportValhallaAPIv=ValhallaAPI(api_key="1111111111111111111111111111111111111111111111111111111111111111")response=v.get_rules_text()withopen('valhalla-rules.yar','w')asfh:fh.write(response)
获取所有最低得分为75的已订阅规则并将其保存到文件中
response=v.get_rules_text(score=75)
获取包含关键字mimikatz的所有已订阅规则,并将它们保存到文件中
response=v.get_rules_text(search="Mimikatz")
获取您的扫描引擎的所有已订阅规则,该引擎支持yara最新版本3.2.0和pe模块,并将它们保存到文件中
response=v.get_rules_text(max_version="3.2.0",modules=['pe'])
获取您的 获取您的 以下产品具有预定义的预设值 示例响应将类似于 使用 示例响应将类似于 获取规则"套管异常"旁路的信息
请注意, 规则信息请求的示例输出将类似于 获取hash的信息 哈希信息请求的示例输出如下所示 api客户端允许您从命令行查询web api。它需要蟒蛇3。 安装python3,然后运行以下命令: 然后,您应该能够使用Linux或MacOS系统从命令行运行 在Windows上,请执行以下操作: 复制完整路径,然后运行 或者从最新版本的 检查演示用户订阅的状态 检查订阅的状态 获取所有已订阅的规则并将其保存到valhalla rules.yar
获取分数高于75的规则,并将其保存到valhalla rules.yar
获取适用于炭黑的规则,并将其保存到valhalla april cb.yar
获取包含关键字 valhalla cli将检查 配置文件当前只包含api密钥和mu,如下所示: valhalla cli具有对其数据库执行查找的某些功能。 查找返回json输出。您可以使用 哈希查找可用于在Valhalla数据库中搜索特定哈希(仅限SHA256)。 它将返回一个json结构。 规则查找可用于在Valhalla数据库中搜索特定规则及其匹配项(高级功能)。 它将返回一个json结构。 下表说明了规则集中使用的分数 欢迎加入QQ群-->: 979659372
FireEyeex的所有订阅规则
0
1111111111111111111111111111111111111111111111111111111111111111
tanium的所有订阅规则
1
1111111111111111111111111111111111111111111111111111111111111111
2
1111111111111111111111111111111111111111111111111111111111111111
3
1111111111111111111111111111111111111111111111111111111111111111
json输出
apt标记获取所有已订阅的规则,标记为json并将它们保存到文件中
4
1111111111111111111111111111111111111111111111111111111111111111
5
1111111111111111111111111111111111111111111111111111111111111111
规则信息
6
1111111111111111111111111111111111111111111111111111111111111111
casing_anomaly_bypass的规则信息是您可以使用demo api密钥检索的唯一信息。
7
1111111111111111111111111111111111111111111111111111111111111111
散列信息
8a883a74702f83a273e6c29292f172f114fd1cce8ee126cd90c95131e870744af
8
1111111111111111111111111111111111111111111111111111111111111111
9
1111111111111111111111111111111111111111111111111111111111111111
API客户端
开始
pip3 install valhallaAPI
valhalla cli。
1
Casing_Anomaly_ByPass
2
Casing_Anomaly_ByPass
release部分下载预编译的valhalla cli.exe。用法
3
Casing_Anomaly_ByPass
示例
4
Casing_Anomaly_ByPass
5
Casing_Anomaly_ByPass
6
Casing_Anomaly_ByPass
7
Casing_Anomaly_ByPass
8
Casing_Anomaly_ByPass
mimikatz的规则,并将其保存到mimikatz rules.yar
9
Casing_Anomaly_ByPass
配置文件
~/.valhalla作为配置文件的默认位置。pip3 install valhallaAPI
0
查找
-lo file选项将json结果保存到文件中。哈希查找
pip3 install valhallaAPI
1
9
1111111111111111111111111111111111111111111111111111111111111111
规则查找
pip3 install valhallaAPI
3
pip3 install valhallaAPI
4
得分
得分 键入 说明
1-39 信息 扫描仪使用的低评分规则(不包括Valhalla,仅用于扫描仪) 40-59 值得注意 异常和威胁搜索规则 60-74 可疑 可疑物品规则 75-100 警报 硬恶意匹配 重要注意事项
推荐PyPI第三方库