VirusTotal检测

既然rootcheck能起到的作用并不大，wazuh有没有其他检测木马病毒的措施呢？答案是有的，wazuh有一个软件集成的概念，后续也会细讲，里面集成了virustotal木马病毒检测。

virustotal是提供一个分析可疑文件的平台，里面有几十个病毒检测引擎进行分析检测，wazuh使用文件完整性扫描获取到文件哈希值，使用python脚本上传文件哈希值到virtutotal平台，从而更加轻量监控到文件的异常。

使用virustotal检测服务，就需要去virustotal官网：https://www.virustotal.com/gui/join-us，进行注册。注册完成并且登录账号之后，点击右上方头像的api key一栏。

进去之后可以看到有API KEY，并且下面还有关于KEY配额使用，因为virtutotal有提供免费服务，所以API限制了一分钟只能进行4次检测请求，1天额度就是1000次，一个月额度是3万次。因为文件的变更是不频繁的，原则上来说，这些配额已经足够使用，当然如果配额不够也可以购买virustotal的商业版配额，具体细节可以自己研究。

修改管理端的配置文件ossec.conf，在integration标签的api_key加上virtutotal的api key，保存之后，重启管理端的服务。

<integration>
  <name>virustotal</name>
  <api_key>在这里插入API_KEY</api_key> 
  <group>syscheck</group>
  <alert_format>json</alert_format>
</integration>

将一些之前我捕捉到的病毒样本放到/etc目录，wazuh就会监控到有新增文件就会计算哈希值丢到virustotal那里进行检查。一段时间可以收到病毒告警日志。

一旦文件新增，变更，删除超过virustotal的免费检测频率就会告警。

不过因为是上传文件哈希值到virustotal，如果病毒是新增virutotal没有特征值的话就会检测不出来。

对于有文件哈希值的文件记录，并且没有并病毒引擎检测到有异常，则会显示没有结果发现，那么可以说这个文件是没有问题。