Veeam V12.1 新特性——YARA规则

四月的奥德赛 VEEAM 1,341 次浏览 没有评论

在Veeam 的新版PPT里,截图里面展示了在SureBackup中可以用YARA内容引擎分析备份资料是否安全

笔者按照上面截图的文件名eicar.yara去搜索了一下,在这个地址中找到了源代码,然后复制/下载下来,

https://github.com/airbnb/binaryalert/blob/master/rules/public/eicar.yara

保存下来后,保存到这个路径下面,就可以被VBR识别到了,在SureBackup中可以选到这个规则了。

C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules

在搜索YARA相关的资料中,有一个Gihub的网站,上面有YARA的程序,但是不知道怎么用。

https://virustotal.github.io/yara/

https://github.com/virustotal/yara/releases/tag/v4.3.2

压缩包中的程序

Veeam中的yara64.exe 并不是https://github.com/VirusTotal/yara/releases 官方版本,两者版本不完全一致,猜测是一个定制的版本

4.3.2.19 和 Github 上的 4.3.2 不完全一样

在C:\Program Files\Common Files\Veeam\Backup and Replication\Mount Service已经有这个程序了 所以不需要单独下载了

 

然后笔者通过搜索YARA规则中的 eicar ,意外发现是欧洲计算机反病毒研究所

网站上有用于杀毒测试的测试文件下载 笔者下载好了 传到VMware Workstation中的虚拟机 立马被 Windows Defender 干掉

 

笔者在用VeeamYARA规则扫描的时候 发现一个现象

Veeam扫描的时候 没有把Linux上的存储库Mount到Windows Server上来(或者说Mount方式不一样)

有一个 20Mbps 左右的网络流量进来,在Linux 存储库上看到网卡有一个20Mbps的流量发送

那么这个流量是什么东西?

原来不是挂载为磁盘 而是挂载为一个文件

 

具体路径在Windows Temp 下面

文件大小 70G,为什么占用是0 呢?

找到魏磊老师,向它请教,原来它就一个快捷方式,软链接。

网络流量是通过网络mount到mount server上来,以笔者的环境为例,Mount Server 和 VBR 是同一台机器。

当然也可以为Repository设置不同的mount server,可以选的。

在资源监视器里看到 veeamAgent在接受大量的流量

其实mount上来不要流量,但是扫描需要流量。

mount技术还是和veeam的vPower NFS中用到的类似

由于eicar测试病毒文件会被Windows Defender杀掉,所以笔者在虚拟机中关闭了系统自带的Windows Defender,然后把测试病毒文件放在

了C盘根目录。

最终用YARA扫描结果为36分42秒,而且4个测试文件都扫描出来了。

同环境下 WIndows Defender 慢了7分钟 还只查出来1个

 

 

 

 

 

 

 

 

发表回复

Go