- 综合排序
- 最热优先
- 最新优先
- 来自专栏giantbranch's blog
yara的安装与使用
yara可以说是正则匹配的工具吧,一般用于病毒的静态检测 下载 这里直接下载windows的 https://github.com/VirusTotal/yara/releases 也可以从这下 https /Yara-Rules/rules 规则分11大类: Antidebug_AntiVM:反调试/反沙箱类yara规则 Crypto:加密类yara规则 CVE_Rules:CVE漏洞利用类yara 规则 email:恶意邮件类yara规则 Exploit-Kits:EK类yara规则 Malicious_Documents:恶意文档类yara规则 malware:恶意软件类yara规则 Mobile_Malware:移动恶意软件类yara规则 Packers:加壳类yara规则 utils:通用类yara规则 Webshells:Webshell类yara规则 获取样本测试 https /Ransomware.WannaCry$ yara ..
67600编辑于 2024-12-31 - 来自专栏鸿鹄实验室
使用yara防御恶意软件
本文将分享本人在学习yara时的一些心得,并在后面给出使用yara来防御CobaltStrike的方法。 yara简介 yara是一个基于规则的恶意样本分析工具,旨在帮助蓝队或安全研究员防御和分析恶意软件,其官网地址为https://virustotal.github.io/yara/。 你可以使用yara基于文本或二进制来标记恶意软件家族来达到各种目的。 yara的安装也是十分的简单,如win下已有独立文件,下载使用即可。 ? : } 然后将其保存为yara文件即可。 yara关键词 在yara中有一些词不可作为标识符,因为在yara中有特殊用途。 all、and、or、at、int32、wide、not.... 具体的可以去查找yara文档,这里不再赘述。
1.2K20发布于 2021-03-31 - 来自专栏安全的矛与盾
yara匹配引擎进阶语法指南
前言 具备检测相关经验的同学可能都对yara匹配引擎比较熟悉了,看雪论坛上也有非常详细的翻译文章 - 编写Yara规则检测恶意软件 本文主要对yara文档容易被忽略的部分进行了翻译和总结,并且给出一些进阶用法的例子 ,提高对yara匹配引擎语法的理解程度。 参考文档:** https://yara.readthedocs.io/en/v4.2.3/writingrules.html 匹配字符串 yara的匹配字符串可以使用一些修饰符,总结下来有如下部分: ,例如YARA 模块定义的数组和字典。 https://yara.readthedocs.io/en/latest/modules/dotnet.html 一些进阶用法 打分 利用yara的math模块进行打分 math.to_number
2.2K20编辑于 2023-02-27 - 来自专栏红队蓝军
用Yara对红队工具“打标”
但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具 一开始我也是很懵的,我也不解为什么要对工具做 Yara 规则,因为 Yara 的确是用于提取分析恶意样本的啊。 ,并且自己感觉能标识该插件唯一性的作为 Yara 规则。 jar 插件都在 30MB 以上,写成 Yara 规则就是 filesize > 30MB,最终 Yara 规则如下: rule routevulscan { meta: description 如何编写合理有效的 Yara 规则: 从 Nextron 公司博客站上如何构建最佳 Yara 规则的文章中我们知道一个有效的 Yara 规则不应该太简单,不然它会产生许多误报的规则,也不应该太复杂,否则它仅能匹配特定样本而且不比散列值好多少
71520编辑于 2023-09-05 - 来自专栏红队蓝军
用Yara对红队工具“打标”
但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具 一开始我也是很懵的,我也不解为什么要对工具做 Yara 规则,因为 Yara 的确是用于提取分析恶意样本的啊。 ,并且自己感觉能标识该插件唯一性的作为 Yara 规则。 jar 插件都在 30MB 以上,写成 Yara 规则就是 filesize > 30MB,最终 Yara 规则如下: rule routevulscan { meta: description 如何编写合理有效的 Yara 规则: 从 Nextron 公司博客站上如何构建最佳 Yara 规则的文章中我们知道一个有效的 Yara 规则不应该太简单,不然它会产生许多误报的规则,也不应该太复杂,否则它仅能匹配特定样本而且不比散列值好多少
1.5K30编辑于 2023-08-02 - 来自专栏FreeBuf
如何使用yaraQA提升Yara规则的质量和性能
关于yaraQA yaraQA是一款功能强大的Yara规则分析工具,在该工具的帮助下,广大研究人员可以轻松提升Yara规则的质量和性能。 很多Yara规则可能在语法上是正确的,但功能很可能仍然存在问题。而yaraQA则会试图找到这些问题并将其报告给YARA规则集的开发者或维护者。 files [yara files ...]] [-d yara files [yara files ...]] 输入文件路径(一个或多个Yara规则,由空格分隔) -d yara files [yara files ...]
45610编辑于 2023-09-18 - 来自专栏FreeBuf
构建识别恶意软件Autopsy python yara扫描模块
YARA是一款用于识别恶意软件的优秀工具,你可以自己编写规则,也可以借助预制的规则yararules。 我需要一个快速的方法用以搜索一些磁盘映像,因此是时候构建一个Autopsy python yara扫描模块了。 1.前期准备 需要删除Autopsy Python Module文件夹下的YARA可执行文件,同时我创建了一个集中的YARA规则文件,包括"rules-master\antidebug.yar"语句。 2.创建YARA Scan模块 YARA Scan的目标是啥?本例中%.doc用来搜索word文档,这里没有相关路径,因此我们将其设置值为%。 通过Hash分析,所有文件都会被标记为KNOWN,因此就能从YARA Scan中排除。
3K70发布于 2018-02-07 - 来自专栏FreeBuf
安全研究 | YARA规则阻止Windows事件日志记录
我们可以在windbg中看到解析后的事件: YARA与模式匹配 接下来,我们就要实现日志过滤器了。 在这里,我定义了下列宏来保持代码风格一致性: 下面的代码将创建一个YARA规则中对象,并在YRRulesScanMem中使用: #define RULE_ALLOW_ALL "rule Allow { = ERROR_SUCCESS) { return -1; } YRCompilerGetRules(yrCompiler, &yrRules); YARA规则写好后,我们就可以开始扫描内存了 下面我们会扫描包含格式化事件内容的StringBuffer变量,并将结果传递给YARA回调函数ToReportOrNotToReportThatIsTheQuestion。 PIPE_NAME) == NULL) { DoOriginalEtwCallback(EventRecord); } } 禁用所有日志记录 我们可以使用下列YARA
1.2K10发布于 2020-10-27 - 来自专栏FreeBuf
如何使用Factual-rules-generator针对本机软件生成YARA规则
关于Factual-rules-generator Factual-rules-generator是一款功能强大的开源工具,该工具旨在帮助广大研究人员在目标操作系统平台中生成关于已安装软件的YARA 工具运行和生成YARA规则 打开命令行终端,然后运行“bin/Generator.py”脚本,别忘了使用之前先更新“etc/allVariables.py”(关键步骤)。 公共YARA规则库 factual-rules:提供一些常见软件的规则样例。 许可证协议 本项目的开发与发布遵循AGPL-3.0开源许可证协议。
59550编辑于 2022-04-12 - 来自专栏FreeBuf
IRFuzz:一款基于YARA规则的文档文件扫描工具
工具介绍 IRFuzz是一款基于YARA规则的扫描工具,可以帮助广大研究人员扫描文档以及文件。 目前,该工具适用于Linux和macOS操作统平台。 ? 依赖组件 1、Yara:仅使用了该项目最新发布的源代码,我们需要编译并安装它,或者直接通过pip命令来安装yara-python。 2、Yara规则:广大研究人员可以点击【https://github.com/Yara-Rules/rules】下载Yara规则,或导入自己自定义的规则集。 3、Python依赖。 支持的功能 使用inotify扫描新的文件; 如果不支持inotify,则使用轮询方式扫描文件; 支持自定义扩展; 删除模式将删除匹配的文件; 递归目录扫描; 使用yara字符串和ctime枚举匹配的Yara 自定义扩展 $ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .zip,.rar 匹配YARA
1.7K30发布于 2020-10-27 - 来自专栏python-爬虫
安卓逆向10.KeyPatch插件和findcrypt-yara插件的安装
3.启动IDA,此时可以在IDA菜单Edit选项下看到多出了一个Keypatch选项 findcrypt-yara插件安装 findcrypt-yara插件作用:搜索文件中的加密算法 findcrypt-yara 插件地址:https://github.com/polymorf/findcrypt-yara 1.cmd窗口运行命令pip install yara-python ? 2.从https://github.com/polymorf/findcrypt-yara下载findcrypt3.py 和 findcrypt3.rules放到IDA的Plugins目录下 ?
1.7K20发布于 2021-05-17 - 来自专栏FreeBuf
Spyre:一款基于YARA规则的入侵威胁指标IoC扫描工具
其主要功能是简化YARA规则的操作,并帮助广大研究人员更好地实现入侵威胁指标IoC的扫描。 在使用Spyre时,我们需要提供自己的YARA规则集,关于YARA规则,广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。 规则文件列表: --yara-proc-rules=FILELIST 设置待扫描进程内存空间的YARA规则文件列表: --yara-proc-rules=FILELIST 使用YARA设置要扫描的文件的最大大小 : --ioc-file=FILE 设置不需要扫描的进程名称: --proc-ignore=NAMELIST 工具使用 Spyre的使用非常简单,首先添加YARA签名,用于文件扫描的YARA规则需要从filescan.yar 关于YARA规则 YARA使用了默认设置进行配置,并且支持通过下列选项进行切换: --disable-magic --disable-cuckoo --enable-dotnet --enable-macho
99910编辑于 2023-04-26 - 来自专栏FreeBuf
Mquery:一款带有Web前端的YARA恶意软件查询加速器
工作机制 YARA的速度毋庸置疑,但是通过给定的数据签名来搜索大型数据库相对来说还是比较慢的。 为了解决这个问题,我们实现了一个名叫UrsaDB的自定义数据库,它可以对结果进行预过滤,因此我们只需要运行YARA搜索一小段数据或代码即可: ? samples”; 5.在索引过程中,当前运行进程可在“admin”标签下的“backend”部分查看到,ursadb也会定期在终端显示结果数据; 6.成功索引之后,你的文件将可被搜索到,切换到主标签页,上传相应Yara
84830发布于 2018-07-31 - 来自专栏FreeBuf
Yaralyzer:一款功能强大的YARA与正则式检查解析工具
关于Yaralyzer Yaralyzer一款功能强大的YARA与正则式检查解析工具,该工具可以允许广大研究人员以可视化的形式检查并强制解码二进制数据和文本数据中的YARA以及正则表达式,同时提供颜色高亮显示输出 功能介绍 1、查看你的YARA规则匹配了哪些字节数据; 2、对字节模式和正则表达式执行同样的操作,而无需编写YARA文件; 3、检测每组匹配到的字节的可能编码; 4、支持查看对匹配区域强制执行各种字符编码的结果 规则; 2、从字符串创建YARA规则; 3、从文件加载YARA规则; 4、从目录中所有的.yara文件加载YARA规则; 5、扫描字节数据; 6、扫描文件; 使用样例如下: from yaralyzer.yaralyzer import Yaralyzer yaralyzer = Yaralyzer.for_rules_files(['/secret/rule.yara'], 'lacan_buys_the_dip.pdf ')for bytes_match, bytes_decoder in yaralyzer.match_iterator():do_stuff() (向右滑动,查看更多) 工具输出样例 YARA匹配结果
58710编辑于 2023-03-29 - 来自专栏FreeBuf
LEAF:一款功能强大的Linux安全取证框架
[-y [YARA [YARA ...]]] [-yr [YARA_RECURSIVE [YARA_RECURSIVE ...]]] [-yd [YARA_DESTINATIONS [YARA_DESTINATIONS...]]] 获取引入用户的所拥有的全部文件和目录 默认: Disabled -y [YARA [YARA ...]], --yara [YARA [YARA .. 配置Yara IOC扫描 默认: None -yr [YARA_RECURSIVE [YARA_RECURSIVE ...]], --yara_recursive 配置递归Yara IOC扫描 默认: None -yd [YARA_DESTINATIONS [YARA_DESTINATIONS...]], --yara_destinations
68830编辑于 2023-04-26 - 来自专栏FreeBuf
如何使用WAFARAY增强你的恶意软件检测能力
关于WAFARAY WAFARAY是一款基于Web应用防火墙和YARA规则的强大安全工具,该工具可以帮助广大研究人员增强自身的恶意软件检测能力。 例如上传文件)上传了可疑文件,那么ModSecurity将会拒绝接收该文件并返回403错误代码; 工具架构 主路径 Yara编译规则: /YaraRules/Compiled Yara默认规则: / 除此之外,还提供了一个PHP页面来帮助我们于工具交互并使用WAF+YARA来检测恶意文件。 规则 当Yara规则下载并编译完毕之后,我们还需要自定义需要部署的规则类型。 下面的日志中,显示的是当Web应用防火墙+Yara规则检测到恶意文件时的场景: Message: Access denied with code 403 (phase 2).
55020编辑于 2023-08-08 - 来自专栏FreeBuf
如何使用Rastrea2r快速实现IoC的收集和分类
通过使用客户机/服务器的RESTful API,Rastrea2r还可以使用YARA规则在多个系统的磁盘和内存上查找IoC。 支持的功能 1、威胁/IoC快速分类; 2、取证信息收集; 3、收集Web浏览器历史记录; 4、支持收集Prefetch数据; 5、内存转储; 6、基于Yara规则实现磁盘扫描; 7、基于Yara规则实现内存进程扫描 Rastrea2r RESTful remote Yara/Triage tool for Incident Responders positional arguments: {yara-disk ,yara-mem,triage,memdump,triage,web-hist,prefetch} modes of operation yara-disk 对磁盘文件 /目录对象执行Yara扫描 yara-mem 对内存中正在运行的进程执行Yara扫描 memdump 从终端节点获取内存转储 triage
37810编辑于 2023-11-02 - 来自专栏FreeBuf
恶意软件狩猎新途径:使用.NET元数据分析跟踪恶意软件
深入分析之后,我还专门为该样本编写了Yara检测规则,当时我便意识到,我是不是也可以写一些Yara规则来识别.NET开发的恶意软件或.NET程序集。 ://github.com/VirusTotal/yara/releases/tag/v3.6.0 2022:引入console模块; https://github.com/VirusTotal/yara { condition: dotnet.guids[0]== "9066ee39-87f9-4468-9d70-b57c25f29a67" } 检测样本: Yara规则 现在我们可以利用Yara 上述样本的Yara规则数据(元数据)如下: 这也就意味着,我们现在可以编写下面这样的Yara规则: import "dotnet" rule PureLogStealer_GUID { condition 你可以在下列存储库中找到本文涉及到的工具和Yara规则示例: https://github.com/bartblaze/DotNet-MetaDa
58110编辑于 2024-04-25 - 来自专栏FreeBuf
手工搭建简易的Linux恶意脚本分析系统
系统功能 系统的功能如下,主要为3个: 使用yara检测脚本对应的病毒家族。 计算脚本与样本库中每个样本的相似度。 提取脚本新增/改动的恶意代码。 使用方法 系统结构由3部分组成,yara规则库、病毒样本库、功能代码,后者运行后会读取规则和样本内容进行检测。 ? 然而,待检测的脚本有可能是新的病毒家族,已有的yara规则无法匹配成功,这时候系统会遍历该脚本与样本库中每一个样本的相似度,筛选出相似度最高的家族。 ? yara_scan函数 通过yara库,调用rule_db里的yara规则对目标脚本进行扫描,返回匹配到病毒家族名。 ? 目前支持的检测的病毒家族如下。 ? PS:若前面yara检测出对应的病毒家族,则只计算该家族目录下的样本相似度,否则,计算所有家族样本的相似度。 ? 样本按照发现日期进行存放,便于整理其中关系。 ?
1.5K20发布于 2020-09-14 - 来自专栏python-爬虫
IDA插件KeyPatch直接在IDA中修改arm指令
3.启动IDA,此时可以在IDA菜单Edit选项下看到多出了一个Keypatch选项 findcrypt-yara插件安装 findcrypt-yara插件作用:搜索文件中的加密算法 findcrypt-yara 插件地址:https://github.com/polymorf/findcrypt-yara 1.cmd窗口运行命令pip install yara-python ? 2.从https://github.com/polymorf/findcrypt-yara下载findcrypt3.py 和 findcrypt3.rules放到IDA的Plugins目录下 ?
5.9K40发布于 2021-05-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号