Valhalla API客户端
valhallaA的Python项目详细描述
瓦尔哈拉皮
这个模块允许您与valhalla api交互,检索不同格式的yara规则,过滤它们并将它们写入磁盘。您可以在我们的网站上找到有关Valhalla的更多信息。没有python模块和客户机的过滤功能的web界面可以在这里访问。
它包含一个python模块valhalla api
和一个python命令行api客户端valhalla cli
python模块
Web API允许您检索已订阅的规则。
python模块的3个主要功能是:
get_rules_text()
以文本形式检索规则get_rules_json()
以json形式检索规则get_rule_info()
查询数据库以获取有关某个规则的信息(例如,样本散列、AV检测率)
该模块提供基于
- 标签
- 得分
- 关键词
- 支持的yara版本和必需的yara模块
它还允许您检索符合用于应用规则的产品的筛选规则集。例如,您可以通过筛选所有使用yara版本(高于受支持的1.7.0
Valhalla数据库中有两个用于特殊查找的额外功能(仅限客户):
获取规则信息
检索规则信息和所有匹配的示例散列获取哈希信息
检索与特定SHA256哈希匹配的所有规则
演示访问
有一个演示API密钥可用于测试目的。
1111111111111111111111111111111111111111111111111111111111111111
它将允许您检索已处理的公共签名集。
该键还允许您查询单个规则的规则信息,即:
Casing_Anomaly_ByPass
请注意,瓦尔哈拉有适当的保护机制,如果你尝试愚蠢的事情,会在相当长的时间内阻止你的双峰末端。
开始
pip3 install valhallaAPI
用法
获取服务状态(不需要有效的api密钥)
fromvalhallaAPI.valhallaimportValhallaAPIv=ValhallaAPI()status=v.get_status()
文本规则
获取所有已订阅的规则作为文本并将其保存到文件中
fromvalhallaAPI.valhallaimportValhallaAPIv=ValhallaAPI(api_key="Your API Key")response=v.get_rules_text()withopen('valhalla-rules.yar','w')asfh:fh.write(response)
或者使用demo api密钥,它允许您检索所有公共规则
fromvalhallaAPI.valhallaimportValhallaAPIv=ValhallaAPI(api_key="1111111111111111111111111111111111111111111111111111111111111111")response=v.get_rules_text()withopen('valhalla-rules.yar','w')asfh:fh.write(response)
获取所有最低得分为75的已订阅规则并将其保存到文件中
response=v.get_rules_text(score=75)
获取包含关键字mimikatz
的所有已订阅规则,并将它们保存到文件中
response=v.get_rules_text(search="Mimikatz")
获取您的扫描引擎的所有已订阅规则,该引擎支持yara最新版本3.2.0
和pe
模块,并将它们保存到文件中
response=v.get_rules_text(max_version="3.2.0",modules=['pe'])
获取您的 获取您的 以下产品具有预定义的预设值 示例响应将类似于 使用 示例响应将类似于 获取规则"套管异常"旁路的信息
请注意, 规则信息请求的示例输出将类似于 获取hash的信息 哈希信息请求的示例输出如下所示 api客户端允许您从命令行查询web api。它需要蟒蛇3。 安装python3,然后运行以下命令: 然后,您应该能够使用Linux或MacOS系统从命令行运行 在Windows上,请执行以下操作: 复制完整路径,然后运行 或者从最新版本的 检查演示用户订阅的状态 检查订阅的状态 获取所有已订阅的规则并将其保存到valhalla rules.yar
获取分数高于75的规则,并将其保存到valhalla rules.yar
获取适用于炭黑的规则,并将其保存到valhalla april cb.yar
获取包含关键字 valhalla cli将检查 配置文件当前只包含api密钥和mu,如下所示: valhalla cli具有对其数据库执行查找的某些功能。 查找返回json输出。您可以使用 哈希查找可用于在Valhalla数据库中搜索特定哈希(仅限SHA256)。 它将返回一个json结构。 规则查找可用于在Valhalla数据库中搜索特定规则及其匹配项(高级功能)。 它将返回一个json结构。 下表说明了规则集中使用的分数FireEyeex的所有订阅规则
0
1111111111111111111111111111111111111111111111111111111111111111
tanium的所有订阅规则
1
1111111111111111111111111111111111111111111111111111111111111111
2
1111111111111111111111111111111111111111111111111111111111111111
3
1111111111111111111111111111111111111111111111111111111111111111
json输出
apt
标记获取所有已订阅的规则,标记为json
并将它们保存到文件中
4
1111111111111111111111111111111111111111111111111111111111111111
5
1111111111111111111111111111111111111111111111111111111111111111
规则信息
6
1111111111111111111111111111111111111111111111111111111111111111
casing_anomaly_bypass的规则信息是您可以使用demo api密钥检索的唯一信息。
7
1111111111111111111111111111111111111111111111111111111111111111
散列信息
8a883a74702f83a273e6c29292f172f114fd1cce8ee126cd90c95131e870744af
8
1111111111111111111111111111111111111111111111111111111111111111
9
1111111111111111111111111111111111111111111111111111111111111111
API客户端
开始
pip3 install valhallaAPI
valhalla cli
。
1
Casing_Anomaly_ByPass
2
Casing_Anomaly_ByPass
release
部分下载预编译的valhalla cli.exe
。用法
3
Casing_Anomaly_ByPass
示例
4
Casing_Anomaly_ByPass
5
Casing_Anomaly_ByPass
6
Casing_Anomaly_ByPass
7
Casing_Anomaly_ByPass
8
Casing_Anomaly_ByPass
mimikatz
的规则,并将其保存到mimikatz rules.yar
9
Casing_Anomaly_ByPass
配置文件
~/.valhalla
作为配置文件的默认位置。pip3 install valhallaAPI
0
查找
-lo file
选项将json结果保存到文件中。哈希查找
pip3 install valhallaAPI
1
9
1111111111111111111111111111111111111111111111111111111111111111
规则查找
pip3 install valhallaAPI
3
pip3 install valhallaAPI
4
得分
< /广告><正文>得分 键入 说明
1-39 信息 扫描仪使用的低评分规则(不包括Valhalla,仅用于扫描仪) 40-59 值得注意 异常和威胁搜索规则 60-74 可疑 可疑物品规则 75-100 警报 硬恶意匹配 重要注意事项
推荐PyPI第三方库