. . .
Privoxy puede ser su puerta principal; unica salida-entrada del sistema o solo para un grupo especifico de programas; como browser, mediaplayers, downloaders, torrents clients , etc . . .
. . .
.. El objetivo es enviar a analizar el trafico reciente de Privoxy a VirusTotal; de esta forma es sencillo el ir realizando varios analisis consecutivos . Si bien se puede copiar de la ventana log de Privoxy e ir analizandolas en VirusTotal una por una; manualmente . . . cuando se realizan descargar en varios sitios es dificil el ir analizando tantas conexiones (y es tedioso). . .
.. Si bien existen analizadores de links previos a dar Click (como la afamada extension de Chrome "VTChromizer") estas solo analizan la URL principal no muestra resultados de todo lo que lleva arrastrando esa URL; como el origen de sus ads, banners, coinminers, tracks, spiders, etc . . . malware . .
En la imagen inferior note como la web "genbeta" arrastra consigo tanta basura de un origen que tiene solo de constante el cambio; la situacion empeora con paginas en que su objetivo es vender espacio para propaganda al mejor postor. . . sobre todo los sitios oscuros; warez & 4dult.
.. Si disfrutan de lo desconocido y andar investigando; sites, blogs, foros. . torrents, pirattas, links a recusos pdfs, mp4, mp3 . . etc. . todo recurso descargable . . XD . . XD
Definitivamente no nos salvara si ya se ha ingresado a esa URL . . por lo que hay que abstenerse de seguir clickeando en ella hasta obtener la informacion de VirusTotal de lo arrastrado por esa URL .. .. aunque una URL parezca segura puede haber cambiado su condicion . . nunca esta de mas volver a analizar . . XD . .XD
. . .
Abajo lo propuesto con ayuda de "PowerShell" . . .
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
#Analizar privoxy-log . . . ultimas 100 entradas al log
#----------------------------------------------------------------------
# Ejecutar Powershell en folder de Privoxy-log
#----------------------------------------------------------------------
#Tomar las ultimas 100 lineas de "privoxy.log" dejando solo los "Request:" (son los que cruzaron privoxy)
Get-Content "privoxy.log" | Select-Object -Last 100 | Select-String -Pattern "Request:" | Foreach-Object {$_ -Replace('.+ Request: ', '')} | Foreach-Object {$_ -Replace('\/+.+$', '')} | Foreach-Object {$_ -Replace(':\d+\/$', '')} | Foreach-Object {$_ -Replace('\/$', '')} | Sort-Object -Unique | set-content "privoxy100.tmp"
#
#Analizandolas en "VirusTotal"
$URLList = Get-Content "privoxy100.tmp"
$results = Foreach($Urll in $URLList)
{
$VTList = $Urll | foreach {"https://www.virustotal.com/es/url/submission/?force=1&url=" + $_ }
$web = Invoke-WebRequest -Uri $VTList
# Refresh
Start-Sleep -Seconds 4
$web = Invoke-WebRequest -Uri $VTList
$dt = $web.tostring() -split "[`r`n]" | select-string "detection-ratio..\d+"| Foreach-Object {$_ -Replace('^ ','')} | Foreach-Object {$_ -Replace('<strong.*id=','VirusTotal ')} | Foreach-Object {$_ -Replace('.span...strong>$','')}
@(" - - - - - - - - - - - - - - - - - - - - - ", $Urll, $dt, " - - - - - - - - - - - - - - - - - - - - - ")
}
$results
# - - -
#Resultados positivos añadirlos a la lista de bloqueo de "privoxy"
#- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# Borrar temporales .tmp
Remove-Item *.tmp -ErrorAction SilentlyContinue
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Aunque tomo las ultimas 100 lineas del Privoxy-log vienen quedando alfinal menos de 20 lineas; debido a la reduccion de lineas durante su limpiada. El analisis toma menos de un segundo . . . aunque esto tambien depende de su conexion, computador, configuracion, etc. . .
Imagen inferior. Ejemplo de resultados obtenidos . . .
Imagen inferior. Ejemplo de resultados obtenidos . . .
Imagen inferior. Ejemplo de resultados obtenidos . . .
Notesen los positivos detectados en VirusTotal . . . en este punto solo se debe decidir si añadir los positivos a la lista de bloqueo o seguir permitiendolos . . . un positivo de cerca de 70 motores antivirus no hay de que preocuparse. . . Por supesto "usercloud" nunca lo bloqueria . . XD . .XD
Divertido verdad. . XD
. . . .
. . .
. .
.
No hay comentarios.:
Publicar un comentario