OVAL学习之第二篇

漏洞库、漏洞库，天天弄这玩意宝宝都快哭了。要知道宝宝是做逆向的。

我用的是eSCAPe-1.2.2.jar来编写oval的，看见.jar了吧，对滴我们得搭建JAVA那套环境T^T。由于没有汉化对于我这种英语只过了4级的学渣而言还得有个 有道词典 。

ok，现在我们就开始编写OVAL。
（打开上一篇博客里面有oval的xml符号的具体说明。）
![译文：开始已精灵模式编辑。这种模式会问你几个问题并根据你的回答建立几个目录。
不用了解oval和XCCDF的技术。

开始已标准模式编辑。这种模式能让你马上创建OVAL和XCCDF。需要你知道OVAL
和XCCDF技术。](http://img.blog.csdn.net/20160412102945513)
好的，这里我们点标准模式。然后再坐上file里new一个oval。

这里选择架构版本（根据自己的需求）。

这里是相关操作系统（根据自己的需求）。

这里是创建oval.xml文件，注意文件名必须得已-oval.xml结尾。

finish创建完毕后出现了很熟悉的几个标签。ok到这里我们就成功的创建了个OVAL的框架。现在我们找个漏洞实战演示一下。
我们选择的是2016-02-14 Adobe Flash Player 安全更新 严重等级 3 这个漏洞。
右键左侧标签Definitions，添加说明。

(在我上一篇博客已经写明说明干什么的，不知道的童鞋可以复习一下)
安全更新.
next添加Source（来源）ID和链接

next添加Affected受影响的产品或平台

finish然后在criteria里添加所需要的引用（所添加的引用包括definition和test等，而且必须已建立。友情提示右键操作）。

接下来就是创建tests

这里要选择registry_test 注册表test。

相同的步骤创建一个注册表object。

相同的步骤创建一个注册表state。然后做修改如图。

然后在object里右键Add parameters把要检查的注册表信息添加进去。

在tests里关联state和object 方法如图：

最后要注意一点，刚刚写的state里 我们的operation是equals（等于），而我们要的是小于这个版本号。所以在关闭eSCAPe-1.2.2.jar后要用记事本打开改成less than or equal 。
这样我们第一个oval就写完了。
怎么读这个xml呢？我用的ovaldi.exe.
在控制台打开 并把刚刚写好的xml拖入ovaldi.exe的安装目录里。
然后控制台输入ovalid -m -o myfirstoval.xml 回车结果如图：

本机是windows 10它的Adobe Flash Player是封装在斯巴达浏览器里的 所以我们注册表目录那没有Adobe Flash Player这个东西。于是没有false(不能评估)。
完活儿。