இந்த கட்டுரை தொழில்நுட்பத்தை நன்கு அறிந்தவர்களுக்கு பயனுள்ளதாக இருக்கும் புள்ளி சரிபார்க்கவும் கோப்பு முன்மாதிரி மூலம் (அச்சுறுத்தல் எமுலேஷன்) மற்றும் செயலில் கோப்பு சுத்தம் (அச்சுறுத்தல் பிரித்தெடுத்தல்) மற்றும் இந்த பணிகளை தானியக்கமாக்குவதற்கு ஒரு படி எடுக்க விரும்புகிறது. செக் பாயிண்ட் உள்ளது
அடிப்படை சுருக்கங்கள்
அச்சுறுத்தல் தடுப்பு API மூன்று முக்கிய கூறுகளுடன் செயல்படுகிறது, அவை API இல் பின்வரும் உரை மதிப்புகள் மூலம் அழைக்கப்படுகின்றன:
av — வைரஸ் எதிர்ப்பு கூறு, அறியப்பட்ட அச்சுறுத்தல்களின் கையொப்ப பகுப்பாய்வுக்கு பொறுப்பு.
te - சாண்ட்பாக்ஸில் உள்ள கோப்புகளைச் சரிபார்ப்பதற்கும், எமுலேஷனுக்குப் பிறகு தீங்கிழைக்கும்/தீங்கற்ற தீர்ப்பை வழங்குவதற்கும் த்ரெட் எமுலேஷன் பாகம் பொறுப்பு.
பிரித்தெடுத்தல் - அச்சுறுத்தல் பிரித்தெடுத்தல் கூறு, அலுவலக ஆவணங்களை விரைவாகப் பயனர்கள்/அமைப்புகளுக்கு வழங்குவதற்காக (தீங்கிழைக்கும் உள்ளடக்கம் அகற்றப்படும்) பாதுகாப்பான வடிவமாக மாற்றுவதற்குப் பொறுப்பாகும்.
API அமைப்பு மற்றும் முக்கிய வரம்புகள்
அச்சுறுத்தல் தடுப்பு API 4 கோரிக்கைகளை மட்டுமே பயன்படுத்துகிறது - பதிவேற்றம், வினவல், பதிவிறக்கம் மற்றும் ஒதுக்கீடு. நான்கு கோரிக்கைகளுக்கான தலைப்பில் நீங்கள் அளவுருவைப் பயன்படுத்தி API விசையை அனுப்ப வேண்டும் அங்கீகார. முதல் பார்வையில், கட்டமைப்பை விட மிகவும் எளிமையானதாகத் தோன்றலாம்
இந்த நேரத்தில், அச்சுறுத்தல் தடுப்பு API இன் ஒரே பதிப்பு வெளியிடப்பட்டுள்ளது - 1.0; API அழைப்புகளுக்கான URL ஐ உள்ளடக்கியிருக்க வேண்டும் v1 நீங்கள் பதிப்பைக் குறிப்பிட வேண்டிய பகுதியில். மேலாண்மை API போலல்லாமல், URL இல் API பதிப்பைக் குறிப்பிடுவது அவசியம், இல்லையெனில் கோரிக்கை செயல்படுத்தப்படாது.
வைரஸ் எதிர்ப்பு கூறு, பிற கூறுகள் (te, பிரித்தெடுத்தல்) இல்லாமல் அழைக்கப்படும் போது, தற்போது md5 ஹாஷ் தொகைகளுடன் வினவல் கோரிக்கைகளை மட்டுமே ஆதரிக்கிறது. அச்சுறுத்தல் எமுலேஷன் மற்றும் அச்சுறுத்தல் பிரித்தெடுத்தல் ஆகியவை sha1 மற்றும் sha256 ஹாஷ் தொகைகளை ஆதரிக்கின்றன.
கேள்விகளில் தவறு செய்யாமல் இருப்பது மிகவும் முக்கியம்! கோரிக்கையை பிழையின்றி செயல்படுத்த முடியும், ஆனால் முழுமையாக இல்லை. சற்று முன்னோக்கிப் பார்த்தால், வினவல்களில் பிழைகள்/அச்சுப் பிழைகள் இருக்கும்போது என்ன நடக்கும் என்று பார்ப்போம்.
அறிக்கைகள் (அறிக்கைகள்) என்ற வார்த்தையுடன் எழுத்துப் பிழையுடன் கோரிக்கை
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reportss: ["tar", "pdf", "xml"]
}
}
]
}
பதிலில் எந்த பிழையும் இருக்காது, ஆனால் அறிக்கைகள் பற்றிய எந்த தகவலும் இருக்காது
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}
ஆனால் அறிக்கைகள் விசையில் எழுத்துப் பிழை இல்லாமல் ஒரு கோரிக்கைக்கு
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reports: ["tar", "pdf", "xml"]
}
}
]
}
அறிக்கைகளைப் பதிவிறக்குவதற்கான ஐடி ஏற்கனவே உள்ள பதிலைப் பெறுகிறோம்
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "b684066e-e41c-481a-a5b4-be43c27d8b65",
"pdf_report": "e48f14f1-bcc7-4776-b04b-1a0a09335115",
"xml_report": "d416d4a9-4b7c-4d6d-84b9-62545c588963"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}
தவறான/காலாவதியான API விசையை அனுப்பினால், பதிலில் 403 பிழையைப் பெறுவோம்.
SandBlast API: கிளவுட் மற்றும் உள்ளூர் சாதனங்களில்
த்ரெட் எமுலேஷன் கூறு (பிளேடு) இயக்கப்பட்ட செக் பாயிண்ட் சாதனங்களுக்கு ஏபிஐ கோரிக்கைகளை அனுப்பலாம். கோரிக்கைகளுக்கான முகவரியாக, நீங்கள் சாதனத்தின் ip/url மற்றும் போர்ட் 18194 ஐப் பயன்படுத்த வேண்டும் (எடுத்துக்காட்டாக, https://10.10.57.19:18194/tecloud/api/v1/file/query). சாதனத்தில் உள்ள பாதுகாப்புக் கொள்கை இந்த இணைப்பை அனுமதிக்கிறது என்பதையும் உறுதிசெய்ய வேண்டும். இயல்பாக உள்ளூர் சாதனங்களில் API விசை மூலம் அங்கீகாரம் ஆஃப் மற்றும் கோரிக்கை தலைப்புகளில் உள்ள அங்கீகார விசையை அனுப்பவே முடியாது.
செக்பாயிண்ட் கிளவுட்க்கான ஏபிஐ கோரிக்கைகள் அனுப்பப்பட வேண்டும் te.checkpoint.com (உதாரணமாக - https://te.checkpoint.com/tecloud/api/v1/file/query). செக் பாயிண்ட் பார்ட்னர்கள் அல்லது நிறுவனத்தின் உள்ளூர் அலுவலகத்தைத் தொடர்புகொள்வதன் மூலம் API விசையை 60 நாட்களுக்கு சோதனை உரிமமாகப் பெறலாம்.
உள்ளூர் சாதனங்களில், அச்சுறுத்தல் பிரித்தெடுத்தல் இன்னும் நிலையானதாக ஆதரிக்கப்படவில்லை.
உள்ளூர் சாதனங்கள் ஒதுக்கீடு கோரிக்கையை ஆதரிக்கவில்லை.
இல்லையெனில், உள்ளூர் சாதனங்களுக்கான கோரிக்கைகளுக்கும் மேகக்கணிக்கும் இடையே வேறுபாடுகள் இல்லை.
API அழைப்பைப் பதிவேற்றவும்
பயன்படுத்தப்படும் முறை - போஸ்ட்
அழைப்பு முகவரி - https:///tecloud/api/v1/file/upload
கோரிக்கை இரண்டு பகுதிகளைக் கொண்டுள்ளது (படிவம்-தரவு): எமுலேஷன்/சுத்தம் செய்வதற்கான ஒரு கோப்பு மற்றும் உரையுடன் கூடிய கோரிக்கை அமைப்பு.
உரை கோரிக்கை காலியாக இருக்கக்கூடாது, ஆனால் அதில் எந்த உள்ளமைவும் இல்லாமல் இருக்கலாம். கோரிக்கை வெற்றிபெற, கோரிக்கையில் குறைந்தபட்சம் பின்வரும் உரையையாவது அனுப்ப வேண்டும்:
பதிவேற்றக் கோரிக்கைக்கு குறைந்தபட்சம் தேவை
HTTP இடுகை
https:///tecloud/api/v1/file/upload
தலைப்புகள்:
அங்கீகார:
உடல்
{
"கோரிக்கை": {
}
}
கோப்பு
கோப்பு
இந்த வழக்கில், கோப்பு இயல்புநிலை அளவுருக்களுக்கு ஏற்ப செயலாக்கப்படும்: கூறு - te, OS படங்கள் - வின் XP மற்றும் Win 7, அறிக்கையை உருவாக்காமல்.
உரை கோரிக்கையில் உள்ள முக்கிய புலங்களில் கருத்துகள்:
FILE_NAME и கோப்பு_வகை கோப்பைப் பதிவேற்றும் போது இது மிகவும் பயனுள்ள தகவல் அல்ல என்பதால், அவற்றை காலியாக விடலாம் அல்லது அனுப்பவே முடியாது. API பதிலில், பதிவிறக்கம் செய்யப்பட்ட கோப்பின் பெயரின் அடிப்படையில் இந்தப் புலங்கள் தானாகவே நிரப்பப்படும், மேலும் தற்காலிக சேமிப்பில் உள்ள தகவலை md5/sha1/sha256 ஹாஷ் அளவுகளைப் பயன்படுத்தி தேட வேண்டும்.
வெற்று file_name மற்றும் file_type உடன் எடுத்துக்காட்டு கோரிக்கை
{
"request": {
"file_name": "",
"file_type": "",
}
}
அம்சங்கள் — சாண்ட்பாக்ஸில் செயலாக்கும்போது தேவையான செயல்பாட்டைக் குறிக்கும் பட்டியல் - av (ஆன்டி வைரஸ்), te (அச்சுறுத்தல் எமுலேஷன்), பிரித்தெடுத்தல் (அச்சுறுத்தல் பிரித்தெடுத்தல்). இந்த அளவுரு கடந்து செல்லவில்லை என்றால், இயல்புநிலை கூறு மட்டுமே பயன்படுத்தப்படும் - te (Threat Emulation).
கிடைக்கக்கூடிய மூன்று கூறுகளைச் சரிபார்ப்பதை இயக்க, API கோரிக்கையில் இந்தக் கூறுகளைக் குறிப்பிட வேண்டும்.
av, te மற்றும் பிரித்தெடுத்தல் ஆகியவற்றைச் சரிபார்ப்பதற்கான கோரிக்கையின் எடுத்துக்காட்டு
{ "request": [
{
"sha256": {{sha256}},
"features": ["av", "te", "extraction"]
}
]
}
te பிரிவில் உள்ள விசைகள்
படங்கள் - சரிபார்ப்பு செய்யப்படும் இயக்க முறைமைகளின் ஐடி மற்றும் திருத்த எண் கொண்ட அகராதிகளைக் கொண்ட பட்டியல். அனைத்து உள்ளூர் சாதனங்களுக்கும் மேகக்கணிக்கும் ஐடிகளும் திருத்த எண்களும் ஒரே மாதிரியாக இருக்கும்.
இயக்க முறைமைகள் மற்றும் திருத்தங்களின் பட்டியல்
OS பட ஐடி கிடைக்கிறது
மறுபார்வை
பட OS மற்றும் பயன்பாடு
e50e99f3-5963-4573-af9e-e3f4750b55e2
1
மைக்ரோசாப்ட் விண்டோஸ்: XP - 32bit SP3
அலுவலகம்: 2003, 2007
அடோப் அக்ரோபேட் ரீடர்: 9.0
ஃப்ளாஷ் ப்ளேயர் 9r115 மற்றும் ஆக்டிவ் எக்ஸ் 10.0
ஜாவா இயக்க நேரம்: 1.6.0u22
7e6fe36e-889e-4c25-8704-56378f0830df
1
மைக்ரோசாப்ட் விண்டோஸ்: 7 - 32பிட்
அலுவலகம்: 2003, 2007
அடோப் அக்ரோபேட் ரீடர்: 9.0
ஃப்ளாஷ் பிளேயர்: 10.2r152 (சொருகு& ஆக்டிவ் எக்ஸ்)
ஜாவா இயக்க நேரம்: 1.6.0u0
8d188031-1010-4466-828b-0cd13d4303ff
1
மைக்ரோசாப்ட் விண்டோஸ்: 7 - 32பிட்
அலுவலகம்: 2010
அடோப் அக்ரோபேட் ரீடர்: 9.4
ஃப்ளாஷ் பிளேயர்: 11.0.1.152 (சொருகு & ஆக்டிவ் எக்ஸ்)
ஜாவா இயக்க நேரம்: 1.7.0u0
5e5de275-a103-4f67-b55b-47532918fa59
1
மைக்ரோசாப்ட் விண்டோஸ்: 7 - 32பிட்
அலுவலகம்: 2013
அடோப் அக்ரோபேட் ரீடர்: 11.0
ஃப்ளாஷ் பிளேயர்: 15 (சொருகு & ஆக்டிவ் எக்ஸ்)
ஜாவா இயக்க நேரம்: 1.7.0u9
3ff3ddae-e7fd-4969-818c-d5f1a2be336d
1
மைக்ரோசாப்ட் விண்டோஸ்: 7 - 64பிட்
அலுவலகம்: 2013 (32பிட்)
அடோப் அக்ரோபேட் ரீடர்: 11.0.01
ஃப்ளாஷ் பிளேயர்: 13 (சொருகு & ஆக்டிவ் எக்ஸ்)
ஜாவா இயக்க நேரம்: 1.7.0u9
6c453c9b-20f7-471a-956c-3198a868dc92
1
மைக்ரோசாப்ட் விண்டோஸ்: 8.1 - 64பிட்
அலுவலகம்: 2013 (64பிட்)
அடோப் அக்ரோபேட் ரீடர்: 11.0.10
ஃப்ளாஷ் பிளேயர்: 18.0.0.160 (சொருகு & ஆக்டிவ் எக்ஸ்)
ஜாவா இயக்க நேரம்: 1.7.0u9
10b4a9c6-e414-425c-ae8b-fe4dd7b25244
1
மைக்ரோசாப்ட் விண்டோஸ்: 10
அலுவலகம்: புரொபஷனல் பிளஸ் 2016 en-us
அடோப் அக்ரோபேட் ரீடர்: DC 2015 MUI
ஃப்ளாஷ் பிளேயர்: 20 (சொருகு & ஆக்டிவ் எக்ஸ்)
ஜாவா இயக்க நேரம்: 1.7.0u9
படங்களின் திறவுகோல் குறிப்பிடப்படவில்லை என்றால், செக் பாயிண்ட் (தற்போது Win XP மற்றும் Win 7) பரிந்துரைத்த படங்களில் எமுலேஷன் நடைபெறும். செயல்திறன் மற்றும் கேட்ச் ரேட் ஆகியவற்றின் சிறந்த சமநிலையைக் கருத்தில் கொண்டு இந்தப் படங்கள் பரிந்துரைக்கப்படுகின்றன.
அறிக்கைகள் — கோப்பு தீங்கிழைக்கும் பட்சத்தில் நாங்கள் கோரும் அறிக்கைகளின் பட்டியல். பின்வரும் விருப்பங்கள் உள்ளன:
-
சுருக்கம் - .tar.gz காப்பகத்தின் முன்மாதிரி பற்றிய அறிக்கையைக் கொண்டுள்ளது அனைவருக்கும் கோரப்பட்ட படங்கள் (ஒரு html பக்கம் மற்றும் எமுலேட்டர் OS இலிருந்து ஒரு வீடியோ, ஒரு நெட்வொர்க் ட்ராஃபிக் டம்ப், json இல் ஒரு அறிக்கை, மற்றும் கடவுச்சொல் பாதுகாக்கப்பட்ட காப்பகத்தில் உள்ள மாதிரி ஆகிய இரண்டும்). பதிலில் உள்ள திறவுகோலை நாங்கள் தேடுகிறோம் - சுருக்க_அறிக்கை அறிக்கையின் பின்னர் பதிவிறக்கம் செய்ய.
-
PDF - எமுலேஷன் பற்றிய ஆவணம் ஒரு பலர் ஸ்மார்ட் கன்சோல் மூலம் பெறப் பழகிய படம். பதிலில் உள்ள திறவுகோலை நாங்கள் தேடுகிறோம் - pdf_report அறிக்கையின் பின்னர் பதிவிறக்கம் செய்ய.
-
எக்ஸ்எம்எல் - எமுலேஷன் பற்றிய ஆவணம் ஒரு படம், அறிக்கையில் உள்ள அளவுருக்களை அடுத்தடுத்து பாகுபடுத்துவதற்கு வசதியானது. பதிலில் உள்ள திறவுகோலை நாங்கள் தேடுகிறோம் - xml_அறிக்கை அறிக்கையின் பின்னர் பதிவிறக்கம் செய்ய.
-
தார் - .tar.gz காப்பகத்தில் எமுலேஷன் பற்றிய அறிக்கை உள்ளது ஒரு கோரப்பட்ட படங்கள் (ஒரு html பக்கம் மற்றும் எமுலேட்டர் OS இலிருந்து ஒரு வீடியோ, ஒரு நெட்வொர்க் ட்ராஃபிக் டம்ப், json இல் ஒரு அறிக்கை, மற்றும் கடவுச்சொல் பாதுகாக்கப்பட்ட காப்பகத்தில் உள்ள மாதிரி ஆகிய இரண்டும்). பதிலில் உள்ள திறவுகோலை நாங்கள் தேடுகிறோம் - முழு_அறிக்கை அறிக்கையின் பின்னர் பதிவிறக்கம் செய்ய.
சுருக்க அறிக்கையின் உள்ளே என்ன இருக்கிறது
முழு_அறிக்கை, pdf_report, xml_report விசைகள் ஒவ்வொரு OS க்கும் அகராதியில் இருக்கும்
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9e6f07d03b37db0d3902bde4e239687a9e3d650e8c368188c7095750e24ad2d5",
"file_type": "html",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "8d18067e-b24d-4103-8469-0117cd25eea9",
"pdf_report": "05848b2a-4cfd-494d-b949-6cfe15d0dc0b",
"xml_report": "ecb17c9d-8607-4904-af49-0970722dd5c8"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "d7c27012-8e0c-4c7e-8472-46cc895d9185",
"pdf_report": "488e850c-7c96-4da9-9bc9-7195506afe03",
"xml_report": "e5a3a78d-c8f0-4044-84c2-39dc80ddaea2"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}
ஆனால் சுருக்க_அறிக்கை விசை - பொதுவாக எமுலேஷனுக்கு ஒன்று உள்ளது
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "d57eadb7b2f91eea66ea77a9e098d049c4ecebd5a4c70fb984688df08d1fa833",
"file_type": "exe",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "c9a1767b-741e-49da-996f-7d632296cf9f",
"xml_report": "cc4dbea9-518c-4e59-b6a3-4ea463ca384b"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "ba520713-8c0b-4672-a12f-0b4a1575b913",
"xml_report": "87bdb8ca-dc44-449d-a9ab-2d95e7fe2503"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"summary_report": "7e7db12d-5df6-4e14-85f3-2c1e29cd3e34",
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}
நீங்கள் ஒரே நேரத்தில் tar மற்றும் xml மற்றும் pdf அறிக்கைகளைக் கோரலாம், நீங்கள் சுருக்கம் மற்றும் தார் மற்றும் xml ஆகியவற்றைக் கோரலாம். ஒரே நேரத்தில் ஒரு சுருக்க அறிக்கையையும் pdfஐயும் கோர முடியாது.
பிரித்தெடுத்தல் பிரிவில் உள்ள விசைகள்
அச்சுறுத்தலைப் பிரித்தெடுக்க, இரண்டு விசைகள் மட்டுமே பயன்படுத்தப்படுகின்றன:
முறை — pdf (இயல்புநிலையாகப் பயன்படுத்தப்படும் pdf ஆக மாற்றவும்) அல்லது சுத்தமான (செயலில் உள்ள உள்ளடக்கத்தை சுத்தப்படுத்துதல்).
பிரித்தெடுக்கப்பட்ட_பகுதிகள்_குறியீடுகள் - செயலில் உள்ள உள்ளடக்கத்தை அகற்றுவதற்கான குறியீடுகளின் பட்டியல், சுத்தமான முறைக்கு மட்டுமே பொருந்தும்
கோப்புகளிலிருந்து உள்ளடக்கத்தை அகற்றுவதற்கான குறியீடுகள்
குறியீடு
விளக்கம்
1025
இணைக்கப்பட்ட பொருள்கள்
1026
மேக்ரோக்கள் மற்றும் குறியீடு
1034
உணர்திறன் ஹைப்பர்லிங்க்கள்
1137
PDF GoToR செயல்கள்
1139
PDF வெளியீட்டு நடவடிக்கைகள்
1141
PDF URI செயல்கள்
1142
PDF ஒலி செயல்கள்
1143
PDF திரைப்பட செயல்கள்
1150
PDF ஜாவாஸ்கிரிப்ட் செயல்கள்
1151
PDF படிவத்தை சமர்ப்பிக்கவும்
1018
தரவுத்தள வினவல்கள்
1019
உட்பொதிக்கப்பட்ட பொருள்கள்
1021
டேட்டாவை வேகமாக சேமிக்கவும்
1017
தனிப்பயன் பண்புகள்
1036
புள்ளியியல் பண்புகள்
1037
சுருக்க பண்புகள்
சுத்தம் செய்யப்பட்ட நகலைப் பதிவிறக்க, சில வினாடிகளுக்குப் பிறகு, கோப்பின் ஹாஷ் அளவு மற்றும் கோரிக்கை உரையில் உள்ள பிரித்தெடுத்தல் கூறு ஆகியவற்றைக் குறிப்பிடும் வினவல் கோரிக்கையை (இது கீழே விவாதிக்கப்படும்) செய்ய வேண்டும். வினவலுக்கான பதிலில் இருந்து ஐடியைப் பயன்படுத்தி சுத்தம் செய்யப்பட்ட கோப்பை நீங்கள் எடுக்கலாம் - extracted_file_download_id. மீண்டும் ஒருமுறை, சற்று முன்னோக்கிப் பார்த்து, அழிக்கப்பட்ட ஆவணத்தைப் பதிவிறக்குவதற்கான ஐடியைத் தேடுவதற்கான கோரிக்கை மற்றும் வினவல் பதிலின் உதாரணங்களைத் தருகிறேன்.
Extracted_file_download_id விசையைத் தேட வினவல் கோரிக்கை
{ "request": [
{
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"features": ["extraction"] ,
"extraction": {
"method": "pdf"
}
}
]
}
வினவலுக்குப் பதில் (extracted_file_download_id விசையைத் தேடவும்)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"file_type": "",
"file_name": "",
"features": [
"extraction"
],
"extraction": {
"method": "pdf",
"extract_result": "CP_EXTRACT_RESULT_SUCCESS",
"extracted_file_download_id": "b5f2b34e-3603-4627-9e0e-54665a531ab2",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"time": "0.013",
"extract_content": "Macros and Code",
"extraction_data": {
"input_extension": "xls",
"input_real_extension": "xls",
"message": "OK",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"protection_name": "Potential malicious content extracted",
"protection_type": "Conversion to PDF",
"protocol_version": "1.0",
"risk": 5.0,
"scrub_activity": "Active content was found - XLS file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0.0,
"scrub_time": "0.013",
"scrubbed_content": "Macros and Code"
},
"tex_product": false,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}
பொது தகவல்
ஒரு API அழைப்பில், சரிபார்ப்பிற்காக ஒரே ஒரு கோப்பை மட்டுமே அனுப்ப முடியும்.
av கூறுக்கு விசைகளுடன் கூடுதல் பிரிவு தேவையில்லை, அதை அகராதியில் குறிப்பிட்டால் போதும் அம்சங்கள்.
வினவல் API அழைப்பு
பயன்படுத்தப்படும் முறை - போஸ்ட்
அழைப்பு முகவரி - https:///tecloud/api/v1/file/query
பதிவிறக்கத்திற்கான கோப்பை அனுப்புவதற்கு முன் (பதிவேற்றக் கோரிக்கை), ஏபிஐ சர்வரில் ஏற்றத்தை மேம்படுத்துவதற்காக சாண்ட்பாக்ஸ் தற்காலிக சேமிப்பை (வினவல் கோரிக்கை) சரிபார்ப்பது நல்லது, ஏனெனில் ஏபிஐ சர்வரில் ஏற்கனவே பதிவிறக்கம் செய்யப்பட்ட கோப்பில் தகவல் மற்றும் தீர்ப்பு இருக்கலாம். அழைப்பு ஒரு உரை பகுதியை மட்டுமே கொண்டுள்ளது. கோரிக்கையின் தேவையான பகுதி, கோப்பின் ஹாஷ் அளவு sha1/sha256/md5 ஆகும். மூலம், பதிவேற்ற கோரிக்கைக்கான பதிலில் அதைப் பெறலாம்.
வினவலுக்கு குறைந்தபட்சம் தேவை
HTTP இடுகை
https:///tecloud/api/v1/file/query
தலைப்புகள்:
அங்கீகார:
உடல்
{
"கோரிக்கை": {
"sha256":
}
}
பதிவேற்றக் கோரிக்கைக்கான பதிலின் உதாரணம், sha1/md5/sha256 ஹாஷ் அளவுகள் தெரியும்
{
"response": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "954b5a851993d49ef8b2412b44f213153bfbdb32",
"md5": "ac29b7c26e7dcf6c6fdb13ac0efe98ec",
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "",
"file_name": "kp-20-doc.doc",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}
வினவல் கோரிக்கை, ஹாஷ் தொகைக்கு கூடுதலாக, பதிவேற்றக் கோரிக்கையைப் போலவே இருக்க வேண்டும் (அல்லது திட்டமிடப்பட்டுள்ளது), அல்லது "ஏற்கனவே" (வினவல் கோரிக்கையில் பதிவேற்றக் கோரிக்கையில் உள்ளதை விட குறைவான புலங்களைக் கொண்டிருக்கும்). வினவல் கோரிக்கையில் பதிவேற்ற கோரிக்கையில் இருந்ததை விட அதிகமான புலங்கள் இருந்தால், பதிலில் தேவையான அனைத்து தகவல்களையும் நீங்கள் பெற மாட்டீர்கள்.
தேவையான எல்லா தரவும் கிடைக்காத கேள்விக்கான பதிலின் உதாரணம் இங்கே உள்ளது
{
"response": [
{
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te",
"extraction"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
},
"extraction": {
"method": "pdf",
"tex_product": false,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}
வயல்களில் கவனம் செலுத்துங்கள் குறியீடு и லேபிள். இந்த புலங்கள் நிலை அகராதிகளில் மூன்று முறை தோன்றும். முதலில் "குறியீடு" என்ற உலகளாவிய விசையைப் பார்க்கிறோம்: 1006 மற்றும் "லேபிள்": "PARTIALLY_FOUND". அடுத்து, இந்த விசைகள் நாம் கோரிய ஒவ்வொரு தனித்தனி கூறுகளுக்கும் காணப்படுகின்றன - te மற்றும் பிரித்தெடுத்தல். te க்கு தரவு கண்டுபிடிக்கப்பட்டது என்பது தெளிவாக இருந்தால், பிரித்தெடுப்பதற்கு எந்த தகவலும் இல்லை.
மேலே உள்ள உதாரணத்திற்கான வினவல் இப்படித்தான் இருந்தது
{ "request": [
{
"sha256": {{sha256}},
"features": ["te", "extraction"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}
பிரித்தெடுத்தல் கூறு இல்லாமல் வினவல் கோரிக்கையை அனுப்பினால்
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}
பதிலில் முழுமையான தகவல்கள் இருக்கும் (“குறியீடு”: 1001, “லேபிள்”: “கண்டுபிடிப்பு”)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}
தற்காலிக சேமிப்பில் எந்த தகவலும் இல்லை என்றால், பதில் "லேபிள்": "NOT_FOUND"
{
"response": [
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd91",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}
ஒரு API அழைப்பில், சரிபார்ப்பிற்காக ஒரே நேரத்தில் பல ஹாஷ் தொகைகளை அனுப்பலாம். பதில் கோரிக்கையில் அனுப்பப்பட்ட அதே வரிசையில் தரவை வழங்கும்.
பல sha256 தொகைகளுடன் எடுத்துக்காட்டு வினவல் கோரிக்கை
{ "request": [
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81"
},
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82"
}
]
}
பல sha256 தொகைகளைக் கொண்ட கேள்விக்கான பதில்
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81",
"file_type": "dll",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
},
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}
வினவல் கோரிக்கையில் ஒரே நேரத்தில் பல ஹாஷ் தொகைகளைக் கோருவது API சேவையகத்தின் செயல்திறனில் நன்மை பயக்கும்.
API அழைப்பைப் பதிவிறக்கவும்
பயன்படுத்தப்படும் முறை - போஸ்ட் (ஆவணங்களின் படி), GET மேலும் வேலை செய்கிறது (மேலும் தர்க்கரீதியானதாக தோன்றலாம்)
அழைப்பு முகவரி - https:///tecloud/api/v1/file/download?id=
தலைப்புக்கு API விசை அனுப்பப்பட வேண்டும், கோரிக்கையின் உள்ளடக்கம் காலியாக உள்ளது, பதிவிறக்க ஐடி URL முகவரியில் அனுப்பப்பட்டது.
வினவல் கோரிக்கைக்கு பதிலளிக்கும் விதமாக, கோப்பைப் பதிவிறக்கும் போது எமுலேஷன் முடிந்து அறிக்கைகள் கோரப்பட்டால், அறிக்கைகளைப் பதிவிறக்குவதற்கான ஐடி தெரியும். சுத்தம் செய்யப்பட்ட நகல் கோரப்பட்டால், சுத்தம் செய்யப்பட்ட ஆவணத்தைப் பதிவிறக்க ஐடியைத் தேட வேண்டும்.
மொத்தத்தில், ஏற்றுவதற்கான ஐடி மதிப்பைக் கொண்ட வினவலுக்கான பதிலில் உள்ள விசைகள்:
-
சுருக்க_அறிக்கை
-
முழு_அறிக்கை
-
pdf_report
-
xml_அறிக்கை
-
extracted_file_download_id
நிச்சயமாக, வினவல் கோரிக்கைக்கு பதிலளிக்கும் வகையில் இந்த விசைகளைப் பெற, அவை கோரிக்கையில் (அறிக்கைகளுக்கு) குறிப்பிடப்பட வேண்டும் அல்லது பிரித்தெடுத்தல் செயல்பாட்டைப் பயன்படுத்தி கோரிக்கையை (சுத்தப்படுத்தப்பட்ட ஆவணங்களுக்கு) செய்ய நினைவில் கொள்ள வேண்டும்.
கோட்டா API அழைப்பு
பயன்படுத்தப்படும் முறை - போஸ்ட்
அழைப்பு முகவரி - https:///tecloud/api/v1/file/quota
கிளவுட்டில் மீதமுள்ள ஒதுக்கீட்டைச் சரிபார்க்க, ஒதுக்கீட்டு வினவலைப் பயன்படுத்தவும். கோரிக்கை அமைப்பு காலியாக உள்ளது.
ஒதுக்கீடு கோரிக்கைக்கான எடுத்துக்காட்டு பதில்
{
"response": [
{
"remain_quota_hour": 1250,
"remain_quota_month": 10000000,
"assigned_quota_hour": 1250,
"assigned_quota_month": 10000000,
"hourly_quota_next_reset": "1599141600",
"monthly_quota_next_reset": "1601510400",
"quota_id": "TEST",
"cloud_monthly_quota_period_start": "1421712300",
"cloud_monthly_quota_usage_for_this_gw": 0,
"cloud_hourly_quota_usage_for_this_gw": 0,
"cloud_monthly_quota_usage_for_quota_id": 0,
"cloud_hourly_quota_usage_for_quota_id": 0,
"monthly_exceeded_quota": 0,
"hourly_exceeded_quota": 0,
"cloud_quota_max_allow_to_exceed_percentage": 1000,
"pod_time_gmt": "1599138715",
"quota_expiration": "0",
"action": "ALLOW"
}
]
}
பாதுகாப்பு நுழைவாயிலுக்கான அச்சுறுத்தல் தடுப்பு API
இந்த API ஆனது அச்சுறுத்தல் தடுப்பு API க்கு முன் உருவாக்கப்பட்டது மற்றும் உள்ளூர் சாதனங்களுக்காக மட்டுமே வடிவமைக்கப்பட்டுள்ளது. தற்போதைக்கு உங்களுக்கு Threat Extraction API தேவைப்பட்டால் மட்டுமே பயனுள்ளதாக இருக்கும். அச்சுறுத்தல் முன்மாதிரிக்கு வழக்கமான அச்சுறுத்தல் தடுப்பு API ஐப் பயன்படுத்துவது நல்லது. ஆன் செய்ய SG க்கான TP API நீங்கள் படிகளைப் பின்பற்ற வேண்டிய API விசையை உள்ளமைக்கவும்
இப்போது செயல்பாடுகளை இன்னும் விரிவாகப் பார்ப்போம் te и பிரித்தெடுத்தல் இந்த API இல்.
கூறுக்கு te அகராதி வழங்கப்பட்டது te_options பதிவேற்றம்/வினவல் கோரிக்கைகளில், இந்த கோரிக்கையில் உள்ள விசைகள் உள்ள te விசைகளுடன் முழுமையாக ஒத்துப்போகின்றன.
அறிக்கைகளுடன் Win10 இல் கோப்பு முன்மாதிரிக்கான எடுத்துக்காட்டு கோரிக்கை
{
"request": [{
"protocol_version": "1.1",
"api_key": "<api_key>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "<filename>",
"te_options": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": ["summary", "xml"]
}
}
]
}
கூறுக்கு பிரித்தெடுத்தல் அகராதி வழங்கப்பட்டது ஸ்க்ரப்_விருப்பங்கள். இந்தக் கோரிக்கையானது துப்புரவு முறையைக் குறிப்பிடுகிறது: PDF ஆக மாற்றவும், செயலில் உள்ள உள்ளடக்கத்தை அழிக்கவும் அல்லது அச்சுறுத்தல் தடுப்பு சுயவிவரத்திற்கு ஏற்ப பயன்முறையைத் தேர்ந்தெடுக்கவும் (சுயவிவரத்தின் பெயர் குறிப்பிடப்பட்டுள்ளது). ஒரு கோப்பிற்கான பிரித்தெடுத்தல் API கோரிக்கைக்கு பதிலளிப்பதில் உள்ள பெரிய விஷயம் என்னவென்றால், அந்த கோரிக்கைக்கான பதிலில் நீங்கள் சுத்தம் செய்யப்பட்ட நகலை base64 என்க்ரிப்ட் செய்யப்பட்ட சரமாகப் பெறுவீர்கள் (நீங்கள் வினவல் கோரிக்கையைச் செய்து, ஐடியைப் பதிவிறக்கம் செய்யத் தேவையில்லை. ஆவணம்)
கோப்பை அழிக்க கோரிக்கையின் எடுத்துக்காட்டு
{
"request": [{
"protocol_version": "1.1",
"api_key": "<API_KEY>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "hi.txt",
"scrub_options": {
"scrub_method": 2
}
}]
}
கோரிக்கைக்கு பதில்
{
"response": [{
"protocol_version": "1.1",
"src_ip": "<IP_ADDRESS>",
"scrub": {
"file_enc_data": "<base64_encoded_converted_to_PDF_file>",
"input_real_extension": "js",
"message": "OK",
"orig_file_url": "",
"output_file_name": "hi.cleaned.pdf",
"protection_name": "Extract potentially malicious content",
"protection_type": "Conversion to PDF",
"real_extension": "txt",
"risk": 0,
"scrub_activity": "TXT file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0,
"scrub_time": "0.011",
"scrubbed_content": ""
}
}]
}
அழிக்கப்பட்ட நகலைப் பெறுவதற்கு குறைவான ஏபிஐ கோரிக்கைகள் தேவை என்ற போதிலும், இந்த விருப்பத்தேர்வில் பயன்படுத்தப்படும் படிவ-தரவு கோரிக்கையை விட குறைவான விருப்பமானதாகவும் வசதியானதாகவும் நான் கருதுகிறேன்.
தபால்காரர் சேகரிப்புகள்
நான் போஸ்ட்மேனில் அச்சுறுத்தல் தடுப்பு API மற்றும் பாதுகாப்பு நுழைவாயிலுக்கான அச்சுறுத்தல் தடுப்பு API ஆகிய இரண்டிற்கும் சேகரிப்புகளை உருவாக்கினேன், இது மிகவும் பொதுவான API கோரிக்கைகளைக் குறிக்கிறது. சேவையக ip/url API மற்றும் விசை தானாகவே கோரிக்கைகளாக மாற்றப்படுவதற்கும், கோப்பைப் பதிவிறக்கிய பிறகு sha256 ஹாஷ் அளவு நினைவில் கொள்ளப்படுவதற்கும், சேகரிப்புகளுக்குள் மூன்று மாறிகள் உருவாக்கப்பட்டுள்ளன (சேகரிப்பு அமைப்புகளுக்குச் சென்று அவற்றைக் கண்டறியலாம். திருத்து -> மாறிகள்): te_api (தேவை), api_key (உள்ளூர் சாதனங்களுடன் TP API ஐப் பயன்படுத்தும் போது தவிர, நிரப்பப்பட வேண்டும்), sha256 (காலியாக விடவும், எஸ்ஜிக்கு TP API இல் பயன்படுத்தப்படவில்லை).
பயன்பாட்டு எடுத்துக்காட்டுகள்
சமூகத்தில்
ஆதாரம்: www.habr.com