像 Virus Total 这样的网站是如何运作的？ [关闭]

Posted 2023-02-19

【中文标题】像 Virus Total 这样的网站是如何运作的？ [关闭]

【英文标题】：How a website like Virus Total does work? [closed]

【发布时间】：2011-12-09 13:05:16

【问题描述】：

VirusTotal 和Jotti 等网站提供在线恶意软件多重扫描服务。我想问一下如何为 Kaspersky、AVG、Symantic..etc 中的任何一个编写接口以实现诸如 Virustotal 之类的在线服务？我可以找到与此问题相关的任何支持参考吗？

【问题讨论】：

VirusTotal 有一个公共 API。为什么不直接使用它？

这只是与学习目的有关的东西。

为什么有人要这样做？ “发送到 VirusTotal 的文件和 URL 将与防病毒供应商和安全公司共享，以帮助他们改进服务和产品。”这是一个很好的理由。

【参考方案1】：

这些服务使用多种免费、开源或商业 A/V 产品，这些产品提供编程接口 (API) 以编程方式扫描文件中的病毒。

VirusTotal，例如在其关于页面上声明以下内容：

VirusTotal 是一项服务......它使用多个命令行版本的防病毒引擎，并使用各自开发人员发布的官方签名文件定期更新。

病毒总数使用 A/V 引擎listed here。有指向所有 A/V 公司网站的链接。

这些程序中的每一个都可能提供命令行工具或 DLL 或公共 API，可以通过代码调用这些工具来确定文件是否为病毒。或者，他们可能安装了那些可以响应文件扫描请求的 A/V 引擎的服务器（所有这些都在内部完成，并且可能在虚拟沙箱中或其他一些保护性安全网中；毕竟，您可能正在到处发送受感染的文件通过提供扫描它们的服务来访问 Internet）。

如前所述，在向公众提供这项服务之前，可能需要解决大量许可问题。由于 VirusTotal 位于西班牙，因此许可协议可能与其他国家/地区的许可协议不同，版权和商标法也会影响其使用。 VirusTotal 还与 A/V 引擎供应商达成协议，向他们报告活动和文件统计信息，以帮助他们改进产品。他们可能已经达成了允许其引擎公开使用的协议。

如果您这样做是为了进行学习练习，请下载工具并查找 API 参考或命令行工具，以了解如何以编程方式对文件调用扫描。

【参考方案2】：

即使我认为您正在尝试创建没有多大用处的东西，我也会尽力提供答案。

首先，这些网站似乎提供上传文件或提供链接的功能。无论哪种情况，只要最终结果是本地系统上的文件，一个简单的 php（或其他）都可以处理。

永远不要执行此文件。

后半部分很简单，大多数病毒扫描程序都有某种命令行选项来扫描特定文件。您只需使用适当的选项调用病毒扫描程序，让它扫描用户提供的文件并检查结果。

完成后，请随意删除文件。

这就是它的全部内容，但我必须同意@Marc B，我不希望 AV 供应商允许你合法地做这件事，而且很可能不值得你花时间和精力.

【讨论】：

我猜是他们的 AV，所以他们就是这样设计的