YARA Forge 项目使用教程

最新推荐文章于 2024-11-15 20:10:25 发布
最新推荐文章于 2024-11-15 20:10:25 发布
阅读量787 收藏 9
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00560/article/details/142190372
版权

YARA Forge 项目使用教程

yara-forge Automated YARA Rule Standardization and Quality Assurance Tool yara-forge 项目地址: https://gitcode.com/gh_mirrors/ya/yara-forge

1. 项目目录结构及介绍

YARA Forge 项目的目录结构如下:

yara-forge/
├── github/
│   └── workflows/
├── vscode/
├── tests/
├── .gitignore
├── .gitmodules
├── LICENSE
├── README.md
├── requirements.txt
├── yara-forge-config.yml
├── yara-forge-custom-scoring.yml
└── yara-forge.py

目录结构介绍

  • github/workflows/: 包含 GitHub Actions 的工作流配置文件。
  • vscode/: 包含 Visual Studio Code 的配置文件。
  • tests/: 包含项目的测试文件。
  • .gitignore: Git 忽略文件配置。
  • .gitmodules: Git 子模块配置。
  • LICENSE: 项目的开源许可证文件。
  • README.md: 项目的介绍和使用说明。
  • requirements.txt: 项目依赖的 Python 包列表。
  • yara-forge-config.yml: YARA Forge 的配置文件。
  • yara-forge-custom-scoring.yml: 自定义评分配置文件。
  • yara-forge.py: 项目的启动文件。

2. 项目启动文件介绍

yara-forge.py

yara-forge.py 是 YARA Forge 项目的启动文件。它负责自动化 YARA 规则的收集、标准化和优化过程。以下是该文件的主要功能:

  • 规则收集: 从多个在线仓库中自动收集 YARA 规则。
  • 规则标准化: 确保收集到的规则遵循统一的格式和标准。
  • 规则优化: 对规则进行质量检查和性能优化,排除无效或低质量的规则。
  • 生成规则包: 生成经过筛选和优化的 YARA 规则包,供安全产品集成使用。

启动命令

python yara-forge.py

3. 项目配置文件介绍

yara-forge-config.yml

yara-forge-config.yml 是 YARA Forge 的主配置文件,用于定义项目的各种配置选项。以下是该文件的主要内容:

  • 规则源配置: 定义从哪些在线仓库收集 YARA 规则。
  • 规则标准化配置: 定义规则标准化的格式和要求。
  • 质量检查配置: 定义规则质量检查的标准和评分机制。
  • 输出配置: 定义生成的规则包的格式和存储位置。

yara-forge-custom-scoring.yml

yara-forge-custom-scoring.yml 是自定义评分配置文件,用于定义规则的评分标准和权重。以下是该文件的主要内容:

  • 质量评分: 定义规则质量的评分标准。
  • 性能评分: 定义规则性能的评分标准。
  • 重要性评分: 定义规则重要性的评分标准。

通过这两个配置文件,用户可以根据自己的需求定制 YARA Forge 的行为和输出。

yara-forge Automated YARA Rule Standardization and Quality Assurance Tool yara-forge 项目地址: https://gitcode.com/gh_mirrors/ya/yara-forge

使用python调用yara进行文件检测
zhizhi120的博客
01-25 1388
使用python实现对yara的调用
静态扫描之Yara第一话--安装及使用Yara
安全杂货铺
01-09 1万+
Yara安装及使用 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
yara安装以及使用
qq_35576225的博客
11-07 1011
1.yara官方github库 https://github.com/VirusTotal/yara/releases 2.恶意软件库 https://github.com/ytisf/theZoo 3.yara规则 https://github.com/Yara-Rules/rules 4.yara规则自定义 https://www.cnblogs.com/SunsetR/p/12650325.html
yara安装与使用
weixin_43781139的博客
03-09 8908
yara安装与使用环境及安装工具使用yara规则编写strings部分转义大小写字符集表示匹配单个词组文本字符串condition部分infilesizeatentrypointint8/16/32、uint8/16/32of???[X-Y]them/($*)@!for xxx of xxx :(xxx)for xxx i in (xxx) :(xxx)其他yara关键字globalprivateTagRule引用规则importinclude注释mate外部变量 环境及安装 操作系统:win10 安装地址
yara工具入门
you_get_me_there的博客
05-23 274
yara入门 规则简介
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2322
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
都是python写的渗透测试工具
四盘山博客
08-31 2955
Python tools for penetration testers If you are involved in vulnerability research, reverse engineering or penetration testing, I suggest to try out the Python programming language. It has a rich
mac安装MySQL-very easy
青苔小榭
07-05 2733
文章目录1.命令:2.安装过程3.启动MySQL4.设置密码5.遇到问题 方法:直接用Homebrew安装 1.命令: brew install mysql 2.安装过程 zhangjingyideMacBook-Pro:~ zhangjingyi$ brew install mysql Updating Homebrew... ==> Auto-updated Homebrew! U...
YARA的安装与配置
骑上单车去旅行的博客
07-24 429
综上所述,‌YARA的安装与配置过程需要确保前置软件的正确安装,‌然后根据操作系统选择合适的安装方法,‌并编写或使用预定义的规则文件来进行匹配操作。涉及几个关键步骤,‌包括前置软件的安装、‌YARA本身的安装,‌以及可能需要的配置调整。‌以下是一个概述:‌。
YARA:第七章-模块使用之PE
不断学习,不断进步。
07-12 1043
模块是对Yara检测功能的扩展。一些模块例如PE、Cukoo等模块是Yara正式支持的模块,随Yara正式发布。当然,用户可以根据自己的需求创建自己的模块集成到Yara程序中。Yara支持在规则文件中导入模块对象,这些导入语句一般放在文件的开始部分,使用关键字"import"和模块名。接下来我们就可以使用所导入模块所支持的函数或者变量。
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-04 2065
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Yara 对红队工具 “打标“
hongduilanjun的博客
08-02 308
YARA 通常是帮助恶意软件研究人员识别和分类恶意软件样本的工具,它基于文本或二进制模式创建恶意样本的描述规则,每个规则由一组字符串和一个布尔表达式组成,这些表达式决定了它的逻辑。但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
【工具】用命令行与Python使用YARA规则
最新发布
2401_88858891的博客
11-15 1132
YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述与匹配信息。现在已经被多家公司所运用于自身的产品。
YARA:第十五章-libyara使用(威胁检测)
不断学习,不断进步。
07-19 2781
YARA是一个流行的开源项目,用于恶意软件检测和分析。它允许用户定义规则,这些规则可以识别和分类恶意软件样本。YARA 的强大之处在于其灵活性和易用性,尤其是在 C/C++ 项目中。本文将详细介绍如何通过 YARA 的 C API 集成和使用 YARA,从而将 YARA 无缝集成到您的安全解决方案中。
yara规则学习与使用
abelxu
06-20 7485
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
使用Yara规则静态扫描方法
ATree的博客
09-06 3368
关于yara规则我就不做多的介绍了,这篇文章只是记录一下它的简单使用方法,我曾经较长时间不使用时忘记了它的使用方法了,遂记录一下。 yara官方下载链接:https://github.com/VirusTotal/yara/releases yara官方文档说明:https://yara.readthedocs.io/en/v3.7.0/index.html 在我图中看到的yara32.ex...
Yara规则编写
lisasue的博客
09-07 8674
yara规则编写 YARA规则的标识符类似于C语言结构,其规则声明以rule标识,在规则描述中可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。 Yara关键字 YARA规则由字符串区域和条件区域两部分组成,其中条件区域必须存在,字符串区域则可有可无,比如不依赖任何字符串的规则: rule Dummy { condition:
Yara规则概述
热门推荐
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
使用yara分析
weixin_34050389的博客
09-03 1952
有时碰到大批量的样本,又发现其中很多相似点,这个时候就需要模式匹配了,yara在分析中当之无愧。 具体的yara规则是怎么回事,freebuff上有相关的文章,要不然看文档也是可以的。这里只记录我第一次使用的几个步骤。 (1)下载yara,大家直接去github上找,我选择了C++写的代码。 (2)解压后找到yara-3.8.1\window...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张栋涓Kerwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值