漏洞库、漏洞库，天天弄这玩意宝宝都快哭了。要知道宝宝是做逆向的。

我用的是eSCAPe-1.2.2.jar来编写oval的，看见.jar了吧，对滴我们得搭建JAVA那套环境T^T。由于没有汉化对于我这种英语只过了4级的学渣而言还得有个 有道词典 。

ok，现在我们就开始编写OVAL。
（打开上一篇博客里面有oval的xml符号的具体说明。）
![译文：开始已精灵模式编辑。这种模式会问你几个问题并根据你的回答建立几个目录。
不用了解oval和XCCDF的技术。

开始已标准模式编辑。这种模式能让你马上创建OVAL和XCCDF。需要你知道OVAL
和XCCDF技术。](http://img.blog.csdn.net/20160412102945513)
好的，这里我们点标准模式。然后再坐上file里new一个oval。

这里选择架构版本（根据自己的需求）。
这里是相关操作系统（根据自己的需求）。

这里是创建oval.xml文件，注意文件名必须得已-oval.xml结尾。

finish创建完毕后出现了很熟悉的几个标签。ok到这里我们就成功的创建了个OVAL的框架。现在我们找个漏洞实战演示一下。
我们选择的是2016-02-14 Adobe Flash Player 安全更新 严重等级 3 这个漏洞。
右键左侧标签Definitions，添加说明。

直接贴出我的说明
<definition xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5" id="oval:my.first.oval:def:1" version="1" class="vulnerability">
<metadata>
<title>Adobe Flash Player 安全更新</title>
<affected family="windows">
<platform>Adobe Flash Player</platform>
</affected>
<reference source="Adobe Flash Player " ref_id="2016-02-14" />
<description>&lt;?xml version="1.0" encoding="UTF-8"?&gt;
&lt;oval_definitions xmlns:oval-def="http://oval.mitre.org/XMLSchema/oval-definitions-5"&gt;
&lt;definitions&gt;
&lt;definition xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5" id="oval:my.first.oval.oval:def:1" version="1" class="vulnerability"&gt;
&lt;metadata&gt;
&lt;title&gt;Adobe Flash Player 安全更新&lt;/title&gt;
&lt;affected family="windows"&gt;
&lt;platform&gt;Microsoft Windows&lt;/platform&gt;
&lt;/affected&gt;
&lt;reference source="ICM" ref_id="microsoft_windows_10_insider_preview" /&gt;
&lt;description&gt;修复Flash Player20.0.0.306或更早版本中的漏洞&lt;/description&gt;
&lt;oval_repository&gt;
&lt;status&gt;ACCEPTED&lt;/status&gt;
&lt;/oval_repository&gt;
&lt;/metadata&gt;
&lt;criteria&gt;
&lt;criterion comment="检测是否低于这个版本" test_ref="oval:my.first.oval.oval:tst:1" /&gt;
&lt;/criteria&gt;
&lt;/definition&gt;
&lt;/definitions&gt;</description>
</metadata>
</definition>（不知道为什么复制过来左边的标签就没了）。
接下来就是创建tests

这里要选择registry_test 注册表test。

相同的步骤创建一个注册表object。

相同的步骤创建一个注册表state。然后做修改如图。

然后在object里右键Add parameters把要检查的注册表信息添加进去。

在tests里关联state和object 方法如图：


最后要注意一点，刚刚写的state里 我们的operation是equals（等于），而我们要的是小于这个版本号。所以在关闭eSCAPe-1.2.2.jar后要用记事本打开改成less than or equal 。
这样我们第一个oval就写完了。
怎么读这个xml呢？我用的ovaldi.exe.
在控制台打开 并把刚刚写好的xml拖入ovaldi.exe的安装目录里。
然后控制台输入ovalid -m -o myfirstoval.xml 回车结果如图：

本机是windows 10它的Adobe Flash Player是封装在斯巴达浏览器里的 所以我们注册表目录那没有Adobe Flash Player这个东西。于是没有not evaluated (不能评估)。
完活儿。