
### VirusTotal API

![pyinstaller](images/24.jpg)

일단 바이러스토탈의 API 를 이용하기 위해선 회원 가입을 해야 합니다. 바이러스토탈 메인페이지 우측 상단에 Sign Up 버튼을 클릭하여 회원가입을 합니다. 회원가입 폼을 모두 작성한 후 회원 가입시에 기재한 메일주소로 온 인증 메일의 링크를 클릭해야만 회원 가입이 완료 됩니다.

![pyinstaller](images/25.jpg)

인증이 모두 완료된 후 바이러스토탈 사이트에 로그인 후 프로필 아이콘을 클릭하면 팝업되는 메뉴에서 API Key 메뉴를 클릭합니다.

![pyinstaller](images/27.jpg)

API Key 메뉴를 누르면 위의 이미지에서 처럼 API 를 확인할 수 있습니다. 그리고 그 아래의 내용을 보면 Public 사용자는 분당 4개의 요청, 하루 500개의 요청, 월 요청 제한 횟수가 있음을 알 수 있습니다. 개인이 사용하기에는 충분한 사용량이라고 보여집니다.


### VirusTotal API 를 이용해 나만의 백신 만들기 [[VirusTotal API 문서]](https://developers.virustotal.com/v3.0/reference)

VirusTotal API를 사용해서 백신검사를 할때 일반적인 요청은 30M 까지 지원을 하고 30메가 이상의 파일을 검사할때는 다른 방식으로 진행하게 됩니다만 여기선 30M 미만의 파일을 기준으로 프로그램을 작성해보도록 하겠습니다. (단일 파일 최대 128MB 까지 지원)

바이러스 토탈 API 동작 방식은 그냥 파일을 전송하면 바로 결과가 나오는게 아니라 파일을 바이러스토탈쪽으로 업로드를 하고 업로드가 완료되면 id 를 부여받는데 이 부여받은 id 를 갖고 분석을 요청하는 방식으로 이뤄집니다. 여기서 부여받은 id 값은 파일의 sha256 값 입니다.

<br><pre style="background-color:#eeeeee;margin:0px;padding:10px;">

import requests
API_KEY = "API KEY"
header = {"x-apikey": API_KEY, "Accept": "application/json"}

def upload_file(filepath):
    url = "https://www.virustotal.com/api/v3/files"
    files = {"file": open(filepath, "rb").read()}
    r = requests.post(url, files=files, headers=header)
    return r.json()
    
print(upload_file("C:\\test\\test.exe"))
</pre>

바이러스 토탈로 파일을 업로드 하는 코드 입니다. 바이러스토탈 API 문서를 살펴보면 API 키는 헤더의 ```x-apikey``` 라는 키의 값으로 전송해야 하고 모든 처리는 json 형태로 전송하고 전송받습니다. 위의 코드를 실행하고 나면 

<br><pre style="background-color:#eeeeee;margin:0px;padding:10px;">
{'data': {'type': 'analysis', 'id': 'ZTM0MzA1YjJiZDkxNGVjYTMzMGIxODQ5NWJiODIwMmM6MTYyNDIwNjQ3NQ=='}}
</pre>
위와 같이 해당 파일의 id 값을 받을 수 있는데 이 값은 해당 파일의 sha256 값 입니다. 따라서 내가 아니더라도 누군가 동일한 파일을 이미 검색했을수도 있기 때문에 파일을 업로드하기 전 해당 파일에 대한 sha256 값을 구해서 미리 분석을 요청해보고 분석된 자료가 없을때 파일을 업로드 하는 방향으로 작성을 하는게 좋을듯 합니다.

<br><pre style="background-color:#eeeeee;margin:0px;padding:10px;">
import hashlib
def get_sha256(filepath):
    _hash = None
    with open(filepath, "rb") as f:
        _hash = hashlib.sha256(f.read()).hexdigest()
    return _hash
</pre>
sha256 을 구하는 함수를 작성합니다.

<br><pre style="background-color:#eeeeee;margin:0px;padding:10px;">

def file_scan_hash(hash):
    url = "https://www.virustotal.com/api/v3/files/{}".format(hash)
    r = requests.get(url, headers=header)
    return r.json()

def analysis_file(&#95;hashid):
    url = "https://www.virustotal.com/api/v3/analyses/{}".format(&#95;hashid)
    r = requests.get(url, headers=header)
    &#95;json = r.json()
    return _json
</pre>

```file_scan_hash``` 함수는 기존에 이미 분석된 파일이 있는 경우 분석 결과를 얻기 위한 함수이고 ```anallysis_file``` 함수는 업로드한 파일의 id 값으로 분석을 요청하는 함수 입니다. 이렇게 우리에게 필요한 함수는 모두 작성했습니다. PySide2 라이브러리를 이용하여 GUI 창을 구성하고 프로그램을 완성해보도록 하겠습니다. PySide2 작성에 대한 설명을 생략하도록 하겠습니다.

In [None]:
import sys
import os
from PySide2.QtCore import Qt, QThread, QObject, Slot, Signal
from PySide2.QtWidgets import QApplication, QPushButton, QWidget, QLabel, QVBoxLayout
from PySide2.QtGui import QFont
import hashlib
import requests
import json
from datetime import datetime
from functools import partial
import webbrowser

current_path = os.getcwd()
API_KEY = "...API KEY..."
header = {'x-apikey': API_KEY, 'Accept': 'application/json'}

def get_sha256(filepath):
    _hash = None
    with open(filepath, "rb") as f:
        _hash = hashlib.sha256(f.read()).hexdigest()
    return _hash

class Worker(QThread):
    '''쓰레드로 분리하는 이유는 파일 업로드가 되는 경우 프로그램이 먹통이 되기 때문입니다.'''
    signal_completed = Signal(str, str)

    def __init__(self, parent=None, filepath=None):
        QThread.__init__(self, parent)
        self.filepath = filepath
        self.filename = os.path.basename(self.filepath)

    def run(self):
        _json = self.upload_file(filepath)
        _hashid = _json.get("data").get("id")
        _result = self.analysis_file(_hashid)
        print(_result)
        _status = _result.get("data").get("attributes").get("status")
        print("Wait result....")
        while "completed" not in _status:
            _result = self.analysis_file(_hashid)
            _status = _result.get("data").get("attributes").get("status")
        _result = self.analysis_file(_hashid)
        print(json.dumps(_result, indent=4, sort_keys=True))
        _sha256 = _result.get("meta").get("file_info").get("sha256")
        self.signal_completed.emit(_sha256, self.filename)

    def upload_file(self, filepath):
        url = "https://www.virustotal.com/api/v3/files"
        files = {"file": open(filepath, "rb").read()}
        r = requests.post(url, files=files, headers=header)
        return r.json()

    def analysis_file(self, _hashid):
        url = "https://www.virustotal.com/api/v3/analyses/{}".format(_hashid)
        r = requests.get(url, headers=header)
        _json = r.json()
        return _json

class MainWidget(QWidget):
    def __init__(self, filepath=None, hash=None):
        super().__init__()
        self.setFixedSize(250, 100)

        filename = os.path.basename(filepath)
        caption = "{} 분석중...".format(filename) if filename is not None else "분석중..."
        self.label = QLabel(caption)

        self.label.setAlignment(Qt.AlignCenter)
        self.label.setFont(QFont('맑은 고딕', 10))

        self.reportButton = QPushButton("결과보기")
        self.reportButton.setMinimumHeight(40)
        self.reportButton.setEnabled(False)

        layout = QVBoxLayout()
        layout.addWidget(self.label)
        layout.addWidget(self.reportButton)
        self.setLayout(layout)

        self.setWindowTitle("Pyrus")
        self.show()
        r = self.file_scan_hash(hash)

        if r.get("error") is not None:
            self.th = Worker(self, filepath)
            self.th.signal_completed.connect(self.slot_complete)
            self.th.start()
        else:
            _id = r.get("data").get("id")
            caption = "{} 분석완료".format(filename)
            self.label.setText(caption)
            self.reportButton.setEnabled(True)
            self.reportButton.clicked.connect(partial(self.on_click_report, _id))

    def slot_complete(self, _hashid, filename):
        '''쓰레드에서 넘어온 시그널을 처리할 슬롯 함수'''
        caption = "{} 분석완료".format(filename)
        self.label.setText(caption)
        self.reportButton.setEnabled(True)
        self.reportButton.clicked.connect(partial(self.on_click_report, _hashid))

    def on_click_report(self, _hashid):
        url = "https://www.virustotal.com/gui/file/{}/detection".format(_hashid)
        webbrowser.open(url)

    def utc2local(self, timestampValue):
        assert isinstance(timestampValue, int)
        d = datetime.utcfromtimestamp(timestampValue)
        offset = datetime.now() - datetime.utcnow()
        return d + offset

    def file_scan_hash(self, hash):
        url = "https://www.virustotal.com/api/v3/files/{}".format(hash)
        r = requests.get(url, headers=header)
        return r.json()

if __name__ == '__main__':
    if len(sys.argv) > 1:
        filepath = sys.argv[1]
        if os.path.exists(filepath):
            filesize = os.path.getsize(filepath)
            if filesize < 1024 * 1204 * 32:
                _hash = get_sha256(filepath)
                if _hash is not None:
                    app = QApplication(sys.argv)
                    w = MainWidget(filepath=filepath, hash=_hash)
                    sys.exit(app.exec_())


### 윈도우 탐색기 컨텍스트 메뉴 등록

![pyinstaller](images/28.jpg)

프로그램을 보다 쉽게 사용하기 위해서 윈도우 탐색기에서 우클릭시 컨텍스트 메뉴에 우리가 만든 프로그램을 등록하여 동작할 수 있게 하려면 윈도우 레지스트리를 수정해줘야 합니다.

![pyinstaller](images/29.jpg)

윈도우 검색창에 regedit 을 입력하거나 아니면 윈도우에서 실행(단축키 Win + R) 에서 regedit 을 입력 후 엔터를 치면 레지트스트리 편집기가 실행됩니다.

![pyinstaller](images/30.jpg)

HKEY_CLASSES_ROOT\*\shell 항목에서 마우스 우클릭 후 새로만들기 > 키 > 프로그램이름으로 키를 생성합니다.

![pyinstaller](images/31.jpg)

키가 생성되면 해당 키를 클릭하고 우측의 기본값을 더블클릭하여 이름을 입력합니다. 이 기본값에 작성된 이름이 메뉴에 표기됩니다.

![pyinstaller](images/33.jpg)

생성된 키의 하위에 command 라는 추가로 키를 생성하고 command 를 클릭 후 우측의 기본값에 실행될 python.exe 의 경로와 위에서 작성한 ```.py``` 파일의 경로를 작성하고 맨 뒤에 %1 을 작성합니다. %1 은 탐색기로 특정 파일에서 우클릭했을 경우 그 특정파일의 경로가 %1 로 들어가게 됩니다. 여기서 ```.py``` 의 경로와 %1 의 값에 한글과 공백이 포함될수 있으니 따옴표로 묶어 줘야 합니다.

> c:\\python\\python.exe "c:\\pyrus\\pyrus.py" "%1"