MRF(恶意软件存储库框架管理工具)

　　MRF是一款恶意软件存储库框架管理工具，同时也是一个恶意软件存储库网站，可用于管理您自己的恶意软件病毒库，能够将所有恶意软件文件集中到同一位置，并提供文件分析和第三方扫描程序；该MRF恶意软件存储库框架能够唯一地标识样本，带有HASH，并将基本信息(大小/原始名称)保存在数据库中以便快速搜索，MRF还可以查询病毒总数以获取有关上载样本的报告，并在仪表板上显示分数(并将信息存储在数据库中)；用户还可以从设备中发送任务并检索结果，MRF支持以模块化方式构建，因此可以很容易地添加新的第三方扫描仪或分析工具，而不会降低性能；内置了许多其他的第三方扫描仪，例如PE数据解析器，PDF和Office文档解析器！

软件功能

　　自托管解决方案（需要PHP / Mysql服务器）。

　　可以在Synology NAS（带有Web Station）上运行。

　　带有API密钥的REST API（提交，删除，更新，获取）。

　　用户权限管理。

　　VirusTotal结果（未知样本可以上传）。

　　布谷鸟分析（需要配置正确且功能正常的布谷鸟机器）。

　　样品按降序排序并具有可定制的分页。

　　搜索过滤器。

　　从VT结果中按以下顺序选择威胁名称：Microsoft，Kaspersky，Bitdefender，Malwarebytes。

　　威胁名称可以编辑，可以在样品上添加注释。

　　可以将样品添加到收藏夹。

　　可以向样品添加标签。

　　可以在样本中添加网址。

软件特色

　　可以锁定样品、PE解析器模块、PDF解析器模块。

　　Office文档解析器模块、TrID模块。

　　二进制图像模块、十六进制查看器。

　　Yara扫描仪（链接到YED网站）。

　　统计页面、布谷鸟管理页面。

　　URL Tracker模块：让我们添加URL模式进行收获。

　　易于定制，只需更改一个配置文件。

使用教程

　　在上载页面上，您可以选择要发送到网站的文件。添加后，您可以选择可选的第三方扫描仪，并放置一些标签。

　　搜索

　　您可以使用各种不同的meta搜索文件。一些搜索过滤器需要特定的语法：

　　魔术搜索：搜索 速度较慢，但范围更广。

　　上传者： 按上传者，子字符串过滤。

　　上次查看日期： 按日期，范围选择器过滤。

　　威胁名称： 按供应商名称，子字符串过滤。

　　SHA256： 按sha256，子字符串过滤。

　　MD5： 按md5过滤，完全匹配。

　　文件名： 按名称，子字符串过滤。

　　FileSize： 按大小过滤，可以是：“ <100”或“ 100”（小于100个字节），“> 100”（大于100个字节）。

　　VirusTotal： 按分数过滤，可以是：“ <10”或“ 10”（小于10），“> 10”（大于10）。

　　杜鹃： 按杜鹃状态过滤，可以是：“扫描”（正在处理），“结果”（可得到结果），“无结果”（无结果）。

　　收藏夹： 按收藏夹过滤（如果不在收藏夹中）。

　　标签： 按标签过滤，当前搜索仅适用于1个标签。

　　网址： 按网址过滤，当前搜索仅适用于1个网址。

　　MIME类型： 按mime类型，子字符串过滤。

　　注释： 按注释，子字符串过滤。

　　仪表板汇总了存储库的状态。它显示了当前的框架版本，示例和虚拟文件的数量，最近上传的示例以及下载最多的示例。

　　它还显示了提交的时间表，最新评论和杰出贡献者列表。

　　文件页面

　　文件页面显示有关唯一上载样本的更多信息。它还有助于参考和共享给定文件上的链接。

　　根据文件类型（使用mime类型过滤），可以访问不同的选项卡。例如，“ PE”选项卡仅在PE文件的情况下可用，分别与带有PDF和Office文件的“ PDF”或“ Office”选项卡相同。

　　对于任何类型的文件，都有几个选项卡共有：“常规”选项卡就是这种情况，它显示检查样本（MIME类型，图标，文件名和第三方扫描仪）时需要使用的最重要的“常规”信息。 “图像”选项卡（Bin2Img模块）/“十六进制”选项卡（文件开头的十六进制视图）

　　“讨论”选项卡允许用户分享有关给定文件的一些想法或问题。

　　讨论区

　　讨论是MRF 6.1中引入的功能。他们允许团队成员讨论直接链接（或不链接到）特定样本，一组样本或提出样本请求的主题。

　　要开始讨论，只需填写表格（某些字段如MD5是可选的）并提交即可。如果讨论结束， 那么作者可以将其标记为已解决 ，它将变为绿色。

　　网址跟踪器

　　URL Trackers是 版本6中引入的一项全新功能。它允许定义您认为可以包含要收集的有趣文件的URL模式（regex）。每次cron迭代都会执行url的生成和上传。

　　要创建一个新的跟踪器，请为其命名，一个API密钥（如果使用的是空所有者密钥，则来自现有用户）以及以下形式的模式：　　url生成引擎将选择从regex中取出的随机URL，并测试它们是否指向文件。

　　Cuckoo页面是Cuckoo API的一个很小的包装。它提供了查看最新分析状态并在必要时删除某些状态的功能。它还可以判断计算机是否耗尽了磁盘空间，CPU和RAM。

更新信息

　　添加了个人资料页面

　　为VirusTotal（用户设置）添加了每个用户API密钥

　　增加了转储PE部分的功能

　　增加了转储PE资源的功能

　　将PE数据存储移至文件系统

　　将Bin2Img数据存储移动到文件系统

　　添加了电子邮件警报（用户设置）

　　在新样本评论中添加了电子邮件警报

　　在新的讨论答案上添加了电子邮件警报

　　添加了YED扫描结果（显示匹配的yara规则和威胁名称）

　　在讨论页面上添加了作者

　　添加了混合分析模块

　　添加了PE证书信息（串行）

　　在管理面板中添加了安装脚本和快捷方式

　　解决了digisig显示问题

　　固定的评论，如果样品被删除，不会被删除

　　添加了仪表板

　　添加了由专用Cron脚本执行的延迟扫描

　　添加了对新用户的默认权限

　　在UI端增加了对操作的限制

　　新增了编辑显示名称的功能

　　添加了讨论

　　增加了编辑讨论的功能

　　添加了公开讨论

　　添加了通知（样品扫描，VT分析完成，布谷鸟分析完成）

　　添加了关于讨论的通知（对我的讨论有新评论，我正在关注的新评论）

　　为公共存储库添加了“公共模式”

　　添加了UI锁定，以便用户不会收到他们无法执行的显示操作

　　固定版权年

　　固定网址跟踪器现在在上传之前检查文件是否存在

　　修复了PE字符串模块，现在增加了Unicode和Ansi字符串

　　将示例注释移至单独的选项卡

　　修复了管理页面和分页导致配置丢失的问题

　　固定的样本页面在选项卡切换时不会两次加载相同的数据

　　重构的pdfdata模块，移至peepdf库（PDFData模块）

　　将提交PDF流添加回存储库（PDFData模块）

　　添加了下载PDF流（PDFData模块）

　　为VirusTotal威胁名称副本（VT模块）添加了“定义供应商”优先级

　　添加了对VirusTotal上传的自动注释（带有配置）（VT模块）

　　添加了原始字符串提取（PEData）

　　提交到杜鹃时添加了选择机器（杜鹃模块）

　　提交到Cuckoo时添加了“选择”选项（带有配置）（Cuckoo模块）