Помогаем работать и общаться.

Без названия

Публично отправил Гость в 11:17 12-07-2018 с типом text и размером 7.41 Kb
Хранить: Вечно, просмотров: 610
В буфер! | Скачать!
  1. ## TODO
  2. + `[deploy]` Добавить конфиг ElasticSearch'а supervisor (поправить ansible-playbook)
  3.  
  4. + `[deploy]` При развертывании, если возможно скачивать сигнатуры Cuckoo (python utils/community.py -sf)
  5.  
  6. + `[net-analyzer]` Преределать интерфейс взаимодействия: не должен парсить pcap'ки, должен получать сессии в кач-ве параметра
  7.  
  8.  
  9.  
  10.  
  11. ## Рекомендации по анализу malware в GUI
  12.  
  13. #### Что удобно показывать в отчете песочницы (в дополнение к тому, что есть на момент написания)
  14. - Подробная информация о дропнутых файлах (сейчас показывается только список имен файлов, которые были так или иначе затронуты в процессе выполнения)
  15. - Факт детектирования этого файлы антивирусами с virustotal. Проблема: не можем отправлять вфайлы в паблиу на анализ
  16. - Дезассембированная точка входа с окружением + дезассемблированный вход в main
  17. - В списке секций исполняемого файла кроме размеров и имен показывать еще и флаги.
  18. - Добавить названия импортируемых функций (сейчас только библиотеки)
  19. - Скриншоты
  20. - Добавить кастомные настраиваемые фильтры в список файлов (ключей реестра/строк/мьютексов)
  21. - Энтропийные карты
  22.  
  23.  
  24. #### Какие запросы удобно использовать для поиска в базе malware
  25. - IP-адреса
  26. - Время компиляции/сборки (диапазон)
  27. - Вхождение произвольного контента, желательно по шаблонам: регулярки или wild-chars
  28. - Дата появления в БД образцов
  29. - Цифровая подпись: факт наличия и владелец сертификата
  30. - похожие файлы: ssdeep
  31.  
  32.  
  33.  
  34.  
  35. ## TODO (старый список, проверить на актуальность)
  36.  
  37. + `[mhttp]` Собирать дополнительные данные по пакетам, во время разбора TCP
  38.      сессии на HTTP сообщения. Например можно добавить:
  39.      - время первого / последнего пакета;
  40.      - найденный HTTP заголовок, целиком вставить в документ
  41.      (как вложенный документ), это позволить улучшить поиск;
  42.      - вычисленный размер HTTP сообщения.
  43.  
  44. + `[mhttp]` Добавить в модуль mhttp.py обработку сессий, которые по каким либо
  45. причинам не содержат заголовков http, но при этом имеют данные.
  46.  
  47. + `[mhttp, capture]` Добавление в модуль mhttp.py обработку "длинных" сессий
  48. (это те сессии которые были разбиты модулем capture; по умолчанию длина
  49. сессии 10тыс. пакетов, сессии длиннее разбиваются)
  50.  
  51. + `[mhttp]` дебаг / оптимизация mhttp.py
  52.  
  53. + `[cli, web, FE]` Утилита извлечения векторов по указанному
  54. пути CLI / Web interface;
  55.      - добавление векторов к набору для определенного классификатора
  56.      в определённый класс;
  57.      - добавление векторов по расширениям файлов;
  58.      - добавление векторов использую названия каталогов как
  59.      название класса для содержащихся в нём файлов.
  60.  
  61. + `[web, core]` Добавить возможность создания различных наборов векторов для
  62. каждого из классификаторов.
  63.      - в "классификаторах" при создании множества пользователь выбирает
  64.      соответсвующий feature extractor.
  65.      - изменить представление меток http сообщения, т.к. теперь оно имеет
  66.      большое число меток, ввиду принадлежности различным классам в рамках
  67.      одного классификатора.
  68.  
  69. + `[web]` Добавить подстановку названий классов для фильтров " class.* == ".
  70.  
  71. + `[web]` Добавить индикацию загрузки datatables "Processing" во все моменты
  72. её перерисовки.
  73.  
  74. + `[web]` Рефакторинг и оптимизация процесса перемещения/удаления векторов в
  75. "Классификаторах".
  76.  
  77. + `[web]` Доработка и дебаг фильтрации сессий/пакетов на главной странице.
  78.  
  79. + `[cli]` Перевод CLI на русский язык, в части описания работы команд.
  80.  
  81. + `[web]` Доработка выделения класса как интересного
  82.      - добавить свитч для подсвечивания сессии / пакета выбранным цветом
  83.      - снятие с класса цветовой метки.
  84.  
  85. + `[web]` Доработка визуализации кластеров.
  86.      - добавить легенду.
  87.      - цвет класса присваивает пользователь. (?)
  88.      
  89. + `[web, core]` Средства удалённой отладки (нужно обсудить)
  90.      - коды ошибок ?
  91.      - человеко понятные сообщения в интерфейсе ?
  92.      - возможно интерфейсное решение в духе log.io
  93.  
  94. + `[web, core]` Анализ произвольного файла.
  95.      - ReST api
  96.      - web interface
  97.  
  98. + `[infrastructure]` Возможно включение в проект supervisor-a как зависимости
  99. что позволит сократить колл-во конфигов на стороне заказчика.
  100.  
  101. + `[core, distribution]` Упаковка в RPM/SRPM пакет с необходимыми зависимостями
  102.      - в пакет целиком входит заранее подготовленный virtual environment со
  103.      всеми необходимыми зависимостями.
  104.  
  105. + `[core]` Увеличить переиспользование кода в проекте.
  106.  
  107. + `[infrastructure]` Развернуть build server.
  108.  
  109. + `[test]` Покрытие тестами части функционала.
  110.      - модуль извлечения трафика по атрибутам
  111.      - содуль построения запров
  112.      - отрисовка веб интерфейса
  113.  

Комментируй
Исходный текст