探寻内存深处的威胁:YAMA - 你的恶意软件检测利器

最新推荐文章于 2025-01-22 16:58:29 发布
最新推荐文章于 2025-01-22 16:58:29 发布
阅读量440 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00054/article/details/139463561
版权

探寻内存深处的威胁:YAMA - 你的恶意软件检测利器

去发现同类优质开源项目:https://gitcode.com/

YAMA Logo

在数字安全的世界中,对抗无形的敌人——恶意软件,我们需要不断进化和适应的新策略。YAMA(Yet Another Memory Analyzer) 正是这样一款创新工具,它专为内存中的恶意软件检测而设计,特别是在面对文件无痕型恶意软件时,YAMA 能帮助你迅速响应并处理安全事件。

项目介绍

YAMA 是一个动态的系统,能够生成专门用于检测特定恶意软件的扫描器。这个扫描器作为单一可执行二进制文件,能够在Windows操作系统中探索内存,以查找并识别潜在的威胁。考虑到现代威胁越来越多地利用仅存在于内存的攻击方式,YAMA 提供了快速响应的解决方案。

技术分析

YAMA 扫描器作为一个用户模式的应用程序运行,巧妙地分析正在运行的进程的内存空间,通过内嵌的 YARA 规则进行扫描。其工作流程包括:

  1. 信息提取:获取进程地址空间、PEB 结构、TEB 结构、栈区域、堆区域、线程信息以及文件映射等关键信息。
  2. 记忆体选择:基于这些信息,智能确定需要检查的内存区域,避免对系统性能造成不必要的影响。
  3. 深度扫描:使用YARA规则对目标内存空间进行细粒度分析,高效准确地识别出恶意代码。

应用场景

YAMA 可广泛应用于各种场景,特别是在应急响应威胁狩猎的过程中。例如,你可以结合 JPCERTCC/jpcert-yara 中的 YARA 规则,创建针对特定APT攻击如APT10的扫描器,以此追踪和发现这类高级持续性威胁的踪迹。

项目特点

  1. 单个可执行文件:生成的扫描器简单轻巧,易于部署。
  2. 自定义YARA规则:允许用户编写自己的规则以满足个性化的检测需求。
  3. 多格式输出:提供文本和 JSON 格式的检测结果,便于进一步的数据分析和报告。
  4. 依赖库明确:清晰列出所有依赖项,便于理解和维护。
  5. 灵感来源丰富:从多个知名开源项目中汲取灵感,确保技术的成熟性和可靠性。

要构建自己的定制化 YAMA 扫描器,请查阅项目 Wiki 获取详细指南。

总的来说,YAMA 是一个强大的工具,能够帮助安全专业人员在错综复杂的网络环境中寻找隐藏的恶意活动,保护您的系统免受侵害。立即加入 YAMA 的使用者行列,提升你的防御能力,让威胁无所遁形!

去发现同类优质开源项目:https://gitcode.com/

yara 源码学习(三)  扫描部分
lacoucou的专栏
06-13 1138
yara源码学习 yara程序的扫描过程
应急响应-利用yara检测内存
最新发布
weixin_42487326的博客
02-14 368
应急响应-yara检测内存
malscan:在进程内存上运行YARA规则,并在匹配项上执行Python脚本
05-19
恶意扫描 malscan是一种用于扫描进程内存以查找YARA匹配项并在找到匹配项后执行Python脚本的工具。 例如,这对于从恶意软件进程内存中提取配置很有用。 现实世界的例子 我们要提取PoisonIvy配置。 从逆向工程中,我们知道配置blob在PoisonIvy进程内的内存中以“ \ x08 \ x00StubPath”开头。 因此,我们编写了一个YARA规则来检测配置: rule pi_config { meta : plugin = " pi_config_extract " strings : $config_start = " \\ x08 \\ x00StubPath " condition : all of them } 在元信息中,我们告诉malscan如果该规则匹配,则运行哪个插件。
如何用yara快速扫描所有进程内存发现威胁
threatexpert
01-22 519
yarchk是为了更方便、更快速的使用yara规则来检查系统所有的进程内存是否有恶意代码,解决yara工具本身只支持一次执行只扫描一个进程内存的不便。
Linux安全模块(LSM)入门及Yama源码分析
qq_44109982的博客
11-03 5710
LSM是什么 由于Linux内核开发中安全人员的边缘地位(误),安全模块并没有并入主线,而是作为单独的模块存在。 LSM的设计思想是在最少改变内核代码的情况下,提供一个能够成功实现强制访问控制模块需要的结构或者接口。LSM对内核主要有5处改动: 1、在特定的内核数据结构中加入安全域; 2、在内核源代码中不同的关键点插入对安全钩子函数的调用 3、加入一个通用的安全系统调用 4、提供了函数允许内核模块注册为安全模块或者注销 5、将capabilities逻辑的大部分移植为一个可选的安全模块 LSM机制之所以简单
静态扫描Yara第四话--编写yara规则(3)
安全杂货铺
01-09 1613
编写简单高效的yara规则(3) 翻译自:https://www.bsk-consulting.de/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/ 距离我写How to Write Simple but Sound Yara Rules – Part2 已经有一段时间了。从那之后,我改进了我的规则创建方法,新方法生成
elfutils-default-yama-scope-0.186-1.el8.noarch.rpm
01-05
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
elfutils-default-yama-scope-0.176-5.el7.noarch.rpm
12-01
离线安装包,亲测可用
yama:Yama的编译器,一种面向对象的微控制器语言,例如ARM Cortex-M和AVR
04-06
Yama编译器 这是用C#语言编写的编译器 什么是Yama语言? 它是一种面向对象的微控制器语言,例如ARM Cortex-M和AVR。 目前支持: AVR汇编程序(Avrasm和AVR-GCC) ARM-T32组件(STM32F3Discovery上的睾丸) 为...
elfutils-default-yama-scope-0.185-1.el8.noarch(1).rpm
12-07
离线安装包,亲测可用
elfutils-default-yama-scope-0.182-3.el8.noarch.rpm
01-05
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Go编写的跨平台Yara扫描-Golang开发
05-26
Kraken是一款简单的跨平台Yara扫描仪,可以针对Windows,Mac,FreeBSD和Linux构建。 它主要用于事件响应,研究和临时检测(不适用于端点保护)。 以下是核心功能Kraken是可用于Windows,Mac,FreeBSD和Linux的简单跨平台Yara扫描仪。 它主要用于事件响应,研究和临时检测(不适用于端点保护)。 以下是核心功能:使用提供的Yara规则(利用go-yara扫描正在运行的可执行文件和正在运行的进程的内存扫描安装的可执行文件以自动运行(利用go-autoruns)。 使用提供的Yara规则扫描文件系统。 将任何检测结果报告给远程服务器
YaraMemoryScanner:简单的PowerShell脚本以使用Yara启用进程扫描
04-05
YaraMemoryScanner 该脚本希望使安全团队能够快速扫描进程内存,以评估事件以及一般端点搜索期间的感染范围。 入门 在PowerShell中以管理员身份 .\YaraMemoryScanner.ps1 (URL | Yara Rule File) 先决条件 贡献 发送电子邮件至brandon.george,网址为binarydefense dot com 作者 布兰登·乔治-初期工作 执照 该项目已获得GPLv3许可 未来 启用事件日志记录以进行检测并启用日志传送
YARA性能指南:有关如何编写快速且对内存友好的YARA规则的指南
03-04
YARA绩效准则 在为YARA创建规则时,请记住以下准则,以便从中获得最佳性能。 本指南基于Victor M. Alvarez和WXS的想法和建议。 1.5版(2021年2月)适用于所有高于3.7版的YARA版本 基础 为了更好地掌握可以优化YARA性能的性能和性能,了解扫描过程很有用。 它基本上分为四个步骤,将使用以下示例规则对其进行非常简单的说明: import "math" rule example_php_webshell_rule { meta: description = "Just an example php webshell rule" date = "2021/02/16" strings: $php_tag = "<?php" $input1 = "GET" $in
The Art of Memory Forensics-Windows取证(Virut样本取证)
weixin_30715523的博客
05-13 611
1、前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔记记录。 2、volatility-Windows命令 与分析Linux镜像相似,而Windows系统的profile都是volatility自带的,无需再制作。 选择元数据 image...
YARA:第十七章-优化规则,提升Yara扫描效率
不断学习,不断进步。
07-23 1776
YARA是一个流行的开源项目,广泛应用于恶意软件扫描、数据泄露检测等领域。YARA 的强大之处在于其规则灵活性和易用性以及支持自定义模块的集成。本章介绍如何通过优化规则来提升Yara检测效率。
【干货】Windows内存获取和分析---查找恶意进程,端口
12-17 817
来源:Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Memory Acquisition and Analysis 调查人员检查物理内存内容,以检测恶意进程、威胁内存驻留恶意软件,以恢复密码和获取密钥。 伏笔:rootkit,root代表最高权限,kit表示软件。合起来,最高权限的软件。如果存在恶...
恶意软件 识别工具 yara 安装使用
whatday的专栏
07-31 2728
目录 概述 下载及安装 问题解决 测试 获取yara规则 获取恶意样本 开始扫描 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt-get install yara apt-get instal
Yara对红队工具“打标”
hongduilanjun的博客
08-10 324
YARA 通常是帮助恶意软件研究人员识别和分类恶意软件样本的工具,它基于文本或二进制模式创建恶意样本的描述规则,每个规则由一组字符串和一个布尔表达式组成,这些表达式决定了它的逻辑。但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伍辰惟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值