Скрипты VirusTotal Console Checker 1.3

[Dragokas]

Dragokas добавил(а) новый ресурс:

VirusTotal Console Checker - Простой консольный скрипт для быстрой проверки файла на VirusTotal

Вспомогательный скрипт для удобной работы с консольной утилитой от Virustotal через контекстное меню проверяемого файла.

Использование:
Нажмите правой кнопкой мыши по файлу, который нужно проверить, выберите "Отправить" => VT_Con_Checker

Посмотреть вложение 68604

Консоль покажет имена движков и детектов, общую статистику.
По нажатию на кнопку 1 откроется лог с более подробным анализом.

Установка:
- Скачайте архив из ресурса, распакуйте в удобное место, которое вы...

Узнать больше об этом ресурсе...

 

[Dragokas]

Оставлю пометку по экспериментам для себя, в виду наличия не самой лучшей документации:

Исходя из этой инфы, запросы "analysis" не потребляют суточную квоту API.

Скрипт VirusTotal Console Checker использует периодический опрос analysis эндпоинта для определения, закончился ли анализ, или ещё в состоянии queued (в очереди / в обработке).

Эндпоинт file_upload - когда отгружает файл (vt.exe scan file <path>)
Эндпоинт files - при запросе расширенной инфы (vt.exe file <id>)
Подробнее тут: Getting started with v2

Параметром <id> является строка в формате BASE64, в которой закодирована строка:

SHA256:Date

где:

• SHA256 - в нижнем регистре!
• Date - это first_submission_date либо last_analysis_date

vt.exe analysis принимает <id> либо f-<SHA256>-<Date>
Просто хеш не принимает.

vt.exe file <хеш>
Принимает хеш (в SHA256 и другом(?) алгоритме). Нижний регистр!
На выходе имеем длинную портянку, в которой в т.ч. есть first_submission_date и last_analysis_date.

Следовательно, скрипт можно улучшить запросив сразу vt.exe file, это работает гораздо быстрее vt.exe scan file, т.к. расчёт хеша выполняется на стороне клиента и файл не отгружается. Если файл уже проверен на VT, этот алгоритм будет работать быстрее.

 

[regist]

А какие лимиты по отправке файлов там?
А так конечно, чем больше выбор тем лучше, но по мне раз ты всё равно там внешнюю утиль задействовал, то лучше использовать Aitotal. В смысле для проверки файлов вместо твоего скрипта.
Тем более там есть специальные плюшки для нас.

 

[Dragokas]

А какие лимиты по отправке файлов там?

Стандартные для бесплатного аккаунта:

Правда, меня за что-то проштрафили и ограничили до 1 запроса в день так, что пришлось создавать новый аккаунт.

А так конечно, чем больше выбор тем лучше, но по мне раз ты всё равно там внешнюю утиль задействовал, то лучше использовать Aitotal. В смысле для проверки файлов вместо твоего скрипта.
Тем более там есть специальные плюшки для нас.

AiTotal у меня не работает от слова совсем, как старый так и новый. Для повседневных задач я массовую проверку редко юзаю, и скорее воспользуюсь своим скриптом Varsa => AutoRuns.
А для моего билдера ПО консольный скрипт вкупе с официальной утилитой это самое то, идеально интегрируется, и вижу результат в том же окне. Собственно для билдера и писал, но подумал, что другим будет тоже полезно, поэтому присобачил как проверку по контекстному меню.

 

[regist]

Стандартные для бесплатного аккаунта:

Я не об этих, а про размер отправляемого файла.
Если правильно помню, если get запрос, то ограничение на 32 MB на загрузку и 128 MB если файл уже проверялся, а сейчас если делать отправку через post то кажись до 640 MB можно.

AiTotal у меня не работает от слова совсем, как старый так и новый.

Если не работает, то ты знаешь кому писать.
Надеюсь @Alex1983 найдёт время разобраться и исправить, чтобы и у тебя работал. А так что его мешает использовать для проверок одиночных файлов.

 

[Dragokas]

Я не об этих, а про размер отправляемого файла.
Если правильно помню, если get запрос, то ограничение на 32 MB на загрузку и 128 MB если файл уже проверялся, а сейчас если делать отправку через post то кажись до 640 MB можно.

Там немного по-другому. Для файлов больше 32 МБ сперва нужно отправить GET-запрос на эндпоинт upload_url, запросить от туда специальный одноразовый адрес другого эндпоинта, на который уже посылать POST-запрос с большим файлом.

 

[regist]

И лимит смотрю уже не 128, а 200.
Поэтому спрашиваю у этой утилиты сколько? У Аитотал пока как раз 32 и 128 лимиты.

 

[Dragokas]

@regist, надо загрузить и проверить, в описании не сказано.

 

[wumbo12]

Лимиты предел до 650 мб -это максимальный на VT .

 

[akok]

Лимиты предел до 650 мб -это максимальный на VT .

И где это описано? Выше 32 мб можно грузить только по предварительному запросу в службу поддержки.

/file/scan/upload_url

Get a URL for uploading files larger than 32MB

developers.virustotal.com

 

[wumbo12]

И где это описано? Выше 32 мб можно грузить только по предварительному запросу в службу поддержки.

/file/scan/upload_url

Get a URL for uploading files larger than 32MB

developers.virustotal.com

Upload a file

Upload and analyse a file 📘 File sizeIf the file to be uploaded is bigger than 32MB, please use the /files/upload_url endpoint instead which admits files up to 650MB.

developers.virustotal.com

 

[Dragokas]

Да, похоже, имеет смысл юзать API v3, где лимиты по-лучше.

 

[Dragokas]

Dragokas обновил(а) ресурс VirusTotal Console Checker новой записью:

Обновление

1.1
- Улучшен алгоритм: для уже проверенных файлов результат отображается мгновенно.

++
добавлен пункт меню:
- 2. Open VirusTotal link to file

Узнать больше об этом обновлении...

 

[wumbo12]

Он не качает Vt.exe с прямого ссылки , при запуска командного консоли , но ничего не происходит .

 

[Dragokas]

@wumbo12, а если русским языком, что не так?

(я немного умственно отсталый, и не понимаю с первого раза)

 

[wumbo12]

@wumbo12, а если русским языком, что не так?

Поторопился...
Cкачал ее с Safezone.cc и запускаешь ее , там выводит кое ошибка , требует файлы на гитхабе . Консоль выводит ошибка , что файл не существует vt.exe

 

[wumbo12]

explorer_yRlGiNFOxq.png

This file has been shared with you on pixeldrain

pixeldrain.com

 

[Dragokas]

@wumbo12, а сделать то, что указано в ошибке или почитать на странице проекта пункт "Установка" не судьба?

 

[wumbo12]

@wumbo12, а сделать то, что указано в ошибке или почитать на странице проекта пункт "Установка" не судьба?

Я, думал что автоматическое скачивание и распаковка файл из сервера github и сразу за одной клик .

 

[Dragokas]

Я, думал что автоматическое скачивание и распаковка файл из сервера github и сразу за одной клик .

В таком случае этот скрипт сразу попадёт под категорию подозреваемого "Trojan.Downloader".
А в текущем виде всё прозрачно. Скрипт оперирует только утилитой, которую пользователь должен скачать сам, ну и ещё встроенной в винду certutil.exe для получения хеша файла.
Да и разработчик не обязан делать кнопку "Сделать всё хорошо" потому, что юзеру лень сделать один раз два лишних клика.