Yara 规则库使用教程

于 2024-08-09 07:50:59 发布
阅读量435 收藏 9
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00604/article/details/141046686
版权

Yara 规则库使用教程

rulesRepository of yara rules项目地址:https://gitcode.com/gh_mirrors/ru/rules

本教程将引导你了解并使用 https://github.com/Yara-Rules/rules.git 这个开源项目,它是一个用于Yara规则集合的仓库。

1. 项目目录结构及介绍

项目目录结构大致如下:

.
├── README.md         # 项目说明文档
├── samples           # 示例文件夹
│   ├── malware       # 恶意软件样本
│   └── nonmalware    # 非恶意软件样本
└── yara-rules        # 规则文件夹
    ├── malware       # 恶意软件检测规则
    ├── benign        # 安全软件或非恶意程序规则
    └── meta.yar      # 共享元数据规则(描述规则的元信息)
  • README.md: 项目的基本介绍和指南。
  • samples: 包含了不同类型的样本文件,用于测试规则。
    • malware: 存放恶意软件样本。
    • nonmalware: 存放非恶意软件样本。
  • yara-rules: 收集的各种Yara规则。
    • malware: 专门用于检测恶意软件的规则。
    • benign: 对于安全软件或可能误报的非恶意程序的排除规则。
    • meta.yar: 提供了共享的元数据规则,可以和其它规则配合使用。

2. 项目启动文件介绍

虽然这个项目本身不包含一个标准的“启动”文件,但你可以通过以下步骤来使用Yara规则进行检测:

  1. 安装Yara: 确保在你的系统上已经安装了Yara。如果没有,可以通过官方文档安装。
  2. 查看规则: 在yara-rules目录下查看malwarebenign子目录中的.yar文件,这些就是你要使用的规则。
  3. 执行扫描: 使用Yara命令行工具,指定要扫描的文件或目录以及要应用的规则。例如:
yara rules/malware/*.yar samples/*

这将会运行malware目录下的所有Yara规则,对samples目录下的所有文件进行扫描。

3. 项目的配置文件介绍

该项目没有特定的配置文件,因为Yara规则通常不需要额外的外部配置。然而,如果你想要自定义扫描行为,比如设置匹配规则时的内存限制或时间限制,可以在执行Yara命令时传递相关选项。例如:

yara --memory-limit 64M --timeout 5s rules/malware/*.yar samples/*

以上命令中,--memory-limit 64M指定了最大内存使用量,--timeout 5s设置了超时时间为5秒。

更多关于Yara的高级用法和配置选项,建议参考官方文档:Yara User Manual

现在,你应该有了如何使用这个开源项目的基本认识,可以开始实践并根据需求调整规则以适应自己的环境。记得定期检查项目更新,获取最新的检测规则。

rulesRepository of yara rules项目地址:https://gitcode.com/gh_mirrors/ru/rules

班妲盼Joyce
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
反向实验室YARA规则:深度解析与应用指南
gitblog_00009的博客
04-14 1127
反向实验室YARA规则:深度解析与应用指南 reversinglabs-yara-rulesReversingLabs YARA Rules项目地址:https://gitcode.com/gh_mirrors/re/reversinglabs-yara-rules 在网络安全领域,有效的恶意软件检测和预防是至关重要的。正是这样一个工具,它提供了一套丰富的开源YARA规则,帮助开发者和安全研究...
clamav-yara:将Clamav病毒数据定义转换为YARA规则[GOLANG]
05-09
将ClamAV定义转换为Yara规则 === Clamav To Yara具有以下特点: 定期从clamav下载定义:目前在main.go中进行硬编码为4个小时 通过Etag检查定义是否已更改 保留:检查定义文件的哈希是否有效。 通过使用freshclam在...
rules:yara规则存储
04-28
项目 该项目满足了一组IT安全研究人员的需要,即拥有一个单一的存储,在其中可以编译,分类和保持不同的Yara签名,并尽可能保持最新状态,并开始成为收集Yara规则的开源社区。 我们的Yara规则集受GNU-GPLv2许可,并且对任何用户或组织开放,只要您在此许可下使用它即可。 Yara越来越多地被使用,但是有关该工具及其用法的知识却分散在许多不同的地方。 “ Yara规则”项目旨在通过尽可能完整地收集规则集,从而成为Yara用户的聚会点,从而为用户提供一种使Yara做好使用准备的快速方法。 我们希望该项目对安全社区和所有Yara用户有用,并期待您的反馈。 订阅我们的邮件列表,加入这个社区。 贡献 如果您有兴趣与我们和安全社区共享您的Yara规则,则可以加入我们的邮件列表,向我们的Twitter帐户发送消息或在此处发送拉取请求。 Twitter帐户: : 要求 要使我们的大多数规
yara规则--构建yara规则
无痕的博客
04-19 1753
多种方式构建yara规则
YARA:第六章-更多关于规则
最新发布
不断学习,不断进步。
07-11 441
Yara规则除了字符串、条件快外,还有其它的一些功能也十分重要。包括全局规则(global rules),私有规则(private rules),标签(tags)和元数据(metadata)。
Yara-Rules:McAfee ATR Team制定的YARA规则存储
05-01
亚拉法则 McAfee ATR博客文章和调查随附的YARA规则存储 我们赞同为改善规则做出贡献-请向我们发送拉动请求以及您的建议 如果您发现我们的规则有误报,请在问题报告中与我们分享您的详细信息,我们将尝试改进Yara规则。 狩猎愉快!
yara规则
weixin_43272486的博客
01-14 1617
标题 yara概述 yara可以对目标文件,文件夹,进程进行扫描。 编写自定义模块 模块是用 C 编写的,并作为编译过程的一部分内置到 YARA 中。为了创建自己的模块,您必须熟悉 C 编程语言以及如何从源代码配置和构建YARA。您不需要了解 YARA 是如何发挥其魔力的;YARA 为模块公开了一个简单的 API,这是您需要知道的全部内容。 模块的源代码必须位于源代码树的libyara/modules目录中,建议使用模块名称作为源文件的文件名。(如果你的模块名称是foo ,它的源文件应该是 fo
yara规则书写规范
01-04
### Yara规则书写规范详解 #### 一、YARA简介及多平台支持 YARA是一款强大的工具,用于识别和提取二进制文件中的模式。它支持多种操作系统,包括Windows、Linux以及MacOSX。YARA的最新版本可在其GitHub页面...
验证yara规则并尝试修复损坏的规则_Python_下载.zip
04-28
Python在验证Yara规则时,通常会使用`yara-python`,这是一个Python接口,允许我们与Yara引擎交互。这个`yara-validator-master`项目可能包含了以下功能: 1. 验证规则语法:检查规则文件的语法是否符合Yara语法...
YARA_Rules_Project_Sorted_Ruleset:YARA规则Yara-Rulesrules存储中的文件类型排序
04-14
此存储是存储的重组,以使确定YARA规则所针对的文件类型更加容易。 以下是原始存储文本: 该项目满足了一群IT安全研究人员的需要,即拥有一个单一的存储,在其中可以编译,分类和保持最新的Yara签名,并尽...
探秘YARA规则:反勒索软件的强大力量
gitblog_00077的博客
05-29 359
探秘YARA规则:反勒索软件的强大力量 项目地址:https://gitcode.com/rivitna/Malware 1、项目介绍 在这个数字时代,勒索软件已经成为网络威胁的一大毒瘤。为了对抗这些恶意程序,YARA rules 提供了一个强大的解决方案。该项目专注收集和维护针对各种知名勒索软件家族的检测规则,包括但不限于Akira、Babuk、BlackByte等数十种流行变种。通过这些规则...
规则模型
09-17
规则 文档模型
Open-Source-YARA-rules:我在互联网上遇到的YARA规则-Open source
03-25
Open-Source-YARA-rules:我在互联网上遇到的YARA规则
Snort 2.9.9.0 规则 snortrules-snapshot-2990.tar.gz
04-20
最新版本的Snort规则
snort的2.9.5.5版本的规则
11-11
2.9.5.5版本的snort对应的规则-snortrules-snapshot-2955
ip国内规则,分享个人的资源
05-12
218.75.90.98 218.75.90.98 浙江省金华市永康市 驰骋网吧(卫星路27号) 218.75.90.99 218.75.90.109 浙江省金华市 电信 218.75.90.110 218.75.90.110 浙江省金华市永康市 石柱西元网吧 218.75.90.111 218.75.90.129 浙江省金华市 电信222.169.36.239 222.169.40.255 吉林省延边州延吉市 电信 222.169.41.0 222.169.41.255 吉林省延边州珲春市 电信 222.169.42.0 222.169.47.25
探秘Yara规则:智能安全防护的利器
gitblog_00024的博客
03-21 419
探秘Yara规则:智能安全防护的利器 rulesRepository of yara rules项目地址:https://gitcode.com/gh_mirrors/ru/rules 在网络安全的世界里,Yara是一个强大的工具,用于扫描和识别恶意软件的行为。而则是Yara规则的集合,它为用户提供了一套丰富的预定义规则,帮助检测各种已知和未知的安全威胁。 项目简介 Yara规则是一个社区驱...
编写yara规则 检测恶意软件
whatday的专栏
07-31 1844
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
YARA规则摘要
cozil的专栏
08-27 2666
原文链接:https://yara.readthedocs.io/en/v3.7.0/writingrules.html 一个简单的yara规则示范: rule ExampleRule { strings: $my_text_string = "text here" $my_hex_string = { E2 34 A1 C8 23 FB } ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

班妲盼Joyce

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值