「vt-py」とは？

Virus Totalの公式APIに「VirusTotal API v3」があります。

で、「VirusTotal API v3」のPython用公式クライアントライブラリが「vt-py」です。
「vt-py」を使うと、「VirusTotal API v3」をより簡単に利用できる（と思われます。）

＜公式サイト＞
GitHub：https://github.com/VirusTotal/vt-py
ドキュメント：https://virustotal.github.io/vt-py

「vt-py」以外にもサードパーティ製のライブラリがいくつか存在するようです。

動作環境

Python 3.6.0以上

できること

「vt-py」でできること

1. ファイル、URL、ドメインなどに関する情報をVTから取得する
2. ファイルと URL のスキャン
3. VirusTotal Intelligence 検索の実行（詳細）
4. LiveHunt のルールセットと通知を管理する（詳細）
5. Retrohunt ジョブを起動してマッチしたものを取得する（詳細）
6. VirusTotal グラフを操作する（詳細）
7. etc...

1,2は基本無料（一部有料）、3～6は有料と思われます。
（何が無料で、何が有料なのか調べても今一つわからなかったで正しくないかも）

• 無料：アカウント作成＆Public APIキー取得
• 有料：VirusTotal Enterprise？VirusTotal Premium Service？を購入してPremium APIキーを取得？

APIキーについて

VTのAPIには「Public API」と「Premium API」の2種類あります。

Public APIは無料ですが、1日辺りのリクエスト回数やビジネス用途で使えないといった制限があります。
Premium APIは有償サービス「VirusTotal Enterprise？」「VirusTotal Premium Service？」の購入が必要なようです。
制限の詳細は「Public vs Premium API」に記載されています。

「vt-py」を使うには、APIキーの取得が必要です。今回は「Public API」のAPIキーを取得して使います。
APIキーの取得方法は「Getting started」に記載されています。

ファイル情報をVTから取得する

ファイルのハッシュ値（MD5, SHA-1, SHA-256）を基にVTから情報が取得できます。
取得できる情報はAPIのドキュメント「Files」に記載があります。

プログラム
EICARファイルの直近のスキャン時間とスキャン結果を取得してみます。
※「3395856ce81f2b7382dee72602f798b642f14140」はEICARファイルのSHA-1です。

import vt

apikey = "<apikey>"
filehash = "3395856ce81f2b7382dee72602f798b642f14140"

client = vt.Client(apikey)
file = client.get_object("/files/{}", filehash)

client.close()

print(file.get("last_analysis_date"))
print(file.get("last_analysis_stats"))

fileオブジェクトの情報は「vars(file)」や「dir(file)」で見ることができます。

実行結果

>>> print(file.get("last_analysis_date"))
1622838165

>>> print(file.get("last_analysis_stats"))
{'harmless': 0, 'type-unsupported': 9, 'suspicious': 0, 'confirmed-timeout': 0, 'timeout': 0, 'failure': 0, 'malicious': 61, 'undetected': 5}

ファイルをスキャンする

ファイルを送信してスキャンします。
取得できる情報はAPIのドキュメント「Analyses」に記載があります。

プログラム
試しにWindows10の計算機（calc.exe）を送信してみます。

import vt

apikey = "<apikey>"
filepath = "C:\Windows\System32\calc.exe"

client = vt.Client(apikey)

with open(filepath, "rb") as f:
    analysis = client.scan_file(f)

while True:
    analysis = client.get_object("/analyses/{}", analysis.id)
    print(analysis.status)
    if analysis.status == "completed":
        break
    time.sleep(30)

client.close()

print(analysis.get("_id"))
print(analysis.get("date"))
print(analysis.get("stats"))

実行結果

>>> print(analysis.get("_id"))
Zjg4Y2MwNTEzNGM1NTVkNGUxY2QxZGVmNzgxNjJhOWE6MTYyMjkwNzAzMg==

>>> print(analysis.get("date"))
1622907032

>>> print(analysis.get("stats"))
{'harmless': 0, 'type-unsupported': 5, 'suspicious': 0, 'confirmed-timeout': 0, 'timeout': 0, 'failure': 0, 'malicious': 0, 'undetected': 69}

URL情報をVTから取得する

import vt

apikey = "<api key>"
url = "https://google.co.jp"

client = vt.Client(apikey)
url_id = vt.url_id(url)
url = client.get_object("/urls/{}", url_id)

client.close()

print(url.get("categories"))
print(url.get("last_analysis_date"))
print(url.get("last_analysis_stats"))

URL をスキャンする

プログラム

import vt

apikey = "<apikey>"
url = "https://google.co.jp"

client = vt.Client(apikey)
analysis = client.scan_url(url)

while True:
    analysis = client.get_object("/analyses/{}", analysis.id)
    print(analysis.status)
    if analysis.status == "completed":
        break
    time.sleep(30)

client.close()

print(analysis.get("_id"))
print(analysis.get("date"))
print(analysis.get("stats"))

実行結果

>>> print(analysis.get("_id"))
u-7f7c5306ba7987cb80bedf158c4c092aa5c2d21599ec0fcda2c382289623408b-1622924400

>>> print(analysis.get("date"))
1622924400

>>> print(analysis.get("stats"))
{'harmless': 80, 'malicious': 0, 'suspicious': 0, 'undetected': 8, 'timeout': 0}

ドメイン情報をVTから取得

ドメインに関する情報をVTから取得できます。
取得できる情報はAPIのドキュメントに記載があります。

プログラム
「yahoo.co.jp」について取得してみます。

import vt

apikey = "<apikey>"
domain = "yahoo.co.jp"

client = vt.Client(apikey)
file = client.get_object("/domains/{}", domain)

client.close()

print(file.get("categories"))
print(file.get("last_analysis_stats"))
print(file.get("whois"))

実行結果

# 各サービスでのドメインの分類
>>> print(file.get("categories"))
{'Forcepoint ThreatSeeker': 'search engines and portals', 'sophos': 'portal sites', 'BitDefender': 'news', 'Comodo Valkyrie Verdict': 'mobile communications', 'alphaMountain.ai': 'Search Engines/Portals'}

# 直近のスキャン結果
>>> print(file.get("last_analysis_stats"))
{'harmless': 77, 'malicious': 0, 'suspicious': 0, 'undetected': 8, 'timeout': 0}

# whois情報
>>> print(file.get("whois"))
g. [Organization] Yahoo Japan Corporation
l. [Organization Type] Corporation
p. [ネームサーバ] ns01.yahoo.co.jp
p. [ネームサーバ] ns02.yahoo.co.jp
p. [ネームサーバ] ns11.yahoo.co.jp
p. [ネームサーバ] ns12.yahoo.co.jp

ログ取得開始/終了

管理者として起動したPowerShell/コマンドプロンプトで以下コマンドを実行します。

・ログ取得開始
> pktmon start -c --pkt-size 0
> pktmon start -c --pkt-size 0 --comp [コンポーネントID]

・ログ取得終了
> pktmon stop

startについて

• デフォルトでは各パケットの先頭128Byteのみ記録されるため、「--pkt-size」に０を指定する。
• 「--comp」でログ取得するコンポーネントを指定可能。「--comp」を指定しない場合、全てのログを取得する。ログ取得後に特定コンポーネントのみログを抜き出すことも可能。
  コンポーネントは「pktmon comp list --all」で確認する。下記では「146」がIPv6、「147」がIPv4、ARP。

>pktmon comp list --all

NIC: Intel(R) Ethernet Connection (6) I219-V
    ID: 13
    ドライバー: e1d68x64.sys
    MAC アドレス: XX-XX-XX-XX-XX-XX
    ifIndex: 28

    フィルター ドライバー:
        ID ドライバー          名前
        -- -----          --
        61 wfplwfs.sys    WFP Native Filter
        60 npcap.sys      Npcap Packet Driver (NPCAP)
        59 VBoxNetLwf.sys VirtualBox NDIS Light-Weight Filter
        58 pacer.sys      QoS Packet Scheduler
        57 wfplwfs.sys    WFP 802.3 Filter

    プロトコル:
         ID ドライバー           名前          EtherType
         -- -----           --          ---------
        146 tcpip.sys       TCPIP6      IPv6
        147 tcpip.sys       TCPIP       IPv4, ARP
        142 vmnetbridge.sys VMNETBRIDGE * (All)
        136 lltdio.sys      LLTDIO      * (All)
        135 mslldp.sys      MSLLDP      LLDP
        130 rspndr.sys      RSPNDR      VLAN, LLTD
        125 ndisuio.sys     NDISUIO     VLAN, 802.1X, 802.11i

ログファイルについて

• ファイルはETL形式で保存（取得後に変換可）
• デフォルトのファイル名は「PktMon.etl」（オプションで変更可）
• デフォルトの最大サイズは512MB、それを超えると上書きされる（オプションで変更可）

フィルタ

tcpdumpと同様にフィルタ設定が可能、複数行の設定も可能。
※ログ取得開始前に設定しておく必要があります。

・フィルタ設定例
> pktmon filter add -i 8.8.8.8 -t udp -p 53

・フィルタの表示
> pktmon filter list

・フィルタのクリア
> pktmon filter remove

ファイル形式の変換

Wireshark形式（pcapeng）やテキスト形式へ変換可能。特定コンポーネントのみ出力も可能。

・Wireshark形式（pcapeng）への変換
> pktmon etl2pcap [ETL形式ファイル名]
> pktmon etl2pcap [ETL形式ファイル名] --component-id  [コンポーネントID]

・テキスト形式への変換
> pktmon etl2txt [ETL形式ファイル名]
> pktmon etl2txt [ETL形式ファイル名] --component-id  [コンポーネントID]

1. Windows XP Modeのダウンロード

https://www.microsoft.com/ja-jp/download/details.aspx?id=8002

上記の公式サイトに接続すると404となります。「XP Mode」の公開は終了しているみたいです。（しかし、Internet Archiveには残っているらしい。）
　↓
ttps://web.archive.org/web/20200111124602/http://download.microsoft.com/download/A/2/F/A2F07A26-83C8-41FD-BD1C-76E4ECB4839F/WindowsXPMode_ja-jp.exe

インストーラのファイル名、ハッシュ値は下記です。

2. インストーラの解凍

インストーラを解凍する

3. 仮想HDDの取り出し

sourcesフォルダがあるので、バッチファイルを作成し実行する。

msiexec.exe /a xpminstl32.msi targetdir=%~dp0xpmode
※「%~dp」はカレントディレクトリ

「xpmode\Program Files\Windows XP Mode」に仮想ディスクができます。

4. 「読み取り専用」の解除

「読み取り専用」となっているので、解除します。

5. 仮想マシンの作成

仮想ディスクを参照する形で仮想マシンを作成します。

ライセンス認証について
この方法で作成したWindowsXPのライセンス期限は30日となっています。
BIOS書き換えで認証済みとなるようですが、有効なライセンスを持ってない場合は問題な気がします。

VirtualBoxでGuest Addinのインストールが上手くいかない場合

古いバージョン（5.1.0とか）だとうまくいくかもしれません。
下記からISOをダウンロードし、仮想マシンのCDドライブにマウントして使います。
→http://download.virtualbox.org/virtualbox/

VirtualBoxでのリモートデスクトップの設定

1. 仮想マシンの設定を開く
2. ディスプレイ > リモートディスプレイからサーバーを有効化する
　※ポートはホストOSで使用していないポートを指定します（例：3390）
3. リモートデスクトップで接続する
　※ホストOSから接続する場合は「localhost:3390」になります。