如何使用YARA文件目录？

Question

我正在浏览恶意软件Cookbook PEScanner，他们希望找到我的YARA文件的路径来搜索。我目前有一个目录，满是YARA规则已知的部分恶意软件。

什么是最好的方式运行扫描仪使用我所有的YARA文件一次？合并了吗？它在代码中循环吗？

PEScanner是两者之一还是两者兼而有之？

Answer 1

有两种主要方法可以扫描Yara文件中的IoCs：

1. 使用像Loki.exe这样的工具对磁盘上的文件。Loki需要yara，并将扫描Windows机器寻找IoCs。
2. 相对于通过各种内存转储工具可用的内存转储。波动性框架包括一个名为yarascan的插件，可以使用-y标志指定Yara规则文件。由于雷卡尔法证学框架的简单性和可扩展性，许多新用户现在都在使用它(这是一个波动叉)。

下面，我将Loki的签名基yara文件夹(充满Yara规则文件)与我使用MoonSols DumpIt收集的内存转储的波动性结合起来。

I in echo /opt/signature-base/yara/\*；do vol.py -profile Win7SP1x64 -f 110138-E7440-20160328-191617

您可能希望使用夯盘来准备DFIR工作站，以便在运行这些分析时获得一些性能提升。