YARA字符串匹配

最新推荐文章于 2024-07-09 09:52:40 发布
最新推荐文章于 2024-07-09 09:52:40 发布
阅读量5.2k 收藏 2
点赞数
分类专栏: C/C++ 文章标签: yara 开源 恶意软件 C++ 字符串匹配
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangzhao_jay/article/details/52688518
版权
YARA是一款强大的开源恶意软件扫描引擎,适用于文本处理和敏感信息查找。其规则配置灵活,匹配效率高,且跨平台。在Windows上使用VS2015编译时,需要注意规则文件不能为UTF-8编码,规则中定义的所有变量必须引用,否则编译会失败。示例代码展示了一个C++应用,通过规则文件进行字符串匹配。
摘要由CSDN通过智能技术生成

最近得知 一个开源的工程 YARA ,上网查了一下,获得一下资料

1、YARA——恶意软件模式匹配利器    http://sec.chinabyte.com/419/12863919.shtml


2、http://yara.readthedocs.io/en/v3.5.0/capi.html#c.yr_rules_scan_file


WINDOWS 使用VS2015进行编译


YARA是一款识别和分类恶意软件样本的开源扫描引擎,yara本身不提供杀毒软件的其他功能(比如自动更新、守护进程等),也没有维护自己的特征库,所以它只是个引擎而已。


也可用于文本处理,查找敏感信息;


优点:规则配置灵活,匹配速率高,跨平台


以下是WINDOS 的示例代码 C++


#include<iostream>
#include<stdio.h>
#include"include\yara.h"

using namespace std;

#pragma comment(lib, "libyara64.lib")

int callback_function(
	int message,
	void* message_data,
	void* user_data)
{
	cout << "message = " << message << endl;
	if (1 == message)
	{
		YR_RUL
最低0.47元/天 解锁文章
Mr_John_Liang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
yara快速学习资料库 yara常用实例
03-06
二、Yara字符串表达式 Yara支持多种类型的字符串,包括全词匹配、宽字符串、大小写敏感/不敏感、十六进制表示等: - `$string="mystring"`:普通字符串。 - `$fullword="mystring" fullword`:全词匹配,防止部分...
IDA findcrypt3插件在yara-python 4.3.0以上版本的问题
marosri的博客
06-12 695
显示 yara.StringMatch 不可下标,查看 yara-python 4.3.0发现这个版本对 yara.StringMatch 做了修改,现在 yara.StringMatch不是列表了。修改的方法也很简单,一是回滚 yara-python 的版本到4.2.3,如果不想回滚的话就要把findcrypt3.py源码里对 yara.StringMatch列表的操作修改成对应属性。findcrypt3插件在yara-python 4.3.0版本运行时会报下面的错误。
yara语法
Starr
01-14 2068
yara 文章目录yara1. Strings1.1 Hexadecimal stringswild-cardsjumpalternatives1.2 text stringsxorfull words1.3 regular expressions2. condition2.1 Counting strings2.2 String offsets or virtual addresses2.3 M...
YARA:第四章-字符串之正则表达式(三)
最新发布
qq_29490749的博客
07-09 413
正则表达式是Yara最强大的功能之一,用户可以通过编写正则表达式来作为匹配规则。
yara语法简介
u013156691的博客
06-20 7094
yara是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,yara规则基于字符串或者二进制模式信息创建恶意软件家族描述信息,yara的每一条描述和规则都是通过一系列字符串和一个布尔表达式构成,并阐述其逻辑。yara规则可以提交给文件或者在运行进程,以帮助研究人员识别其是否属于某个已知运行规则描述的恶意软件家族。     下面是一个yara规则简单的例子:
Yara引擎编译和发布
摔不死的笨鸟的博客
08-05 1182
我们自己设计软件时有很多情况都需要集成yara引擎 项目-管理NuGet程序包,下载几个包并安装 确保是git上最新代码即可编译 package目录下的include和lib是自动添加到项目中的。 发布时要注意除了yara编译需要依赖的jansson、libcrypto、libssl这几个库,把libyara编译好放一块。 除了需要的jansson.h和jansson_config.h,openssl以外,包含yara.h和yara项目中用到的头文件。 ...
bootstrap文件不能被识别_基于 Yara 引擎的二进制文件扫描
weixin_39849762的博客
10-28 284
1. 什么是 Yara 引擎?Yara 是一个开源的恶意代码查杀引擎,用来识别和分类恶意软件样本。Yara 本身不提供杀毒功能,也没有自己的特征库,所以它只是个引擎而已。Yara 引擎需要特征规则库的支持。特征规则是由一系列字符串和一个布尔型表达式构成的描述来阐述其逻辑,支持与或非等多种条件,以此来识别和分类恶意软件或者程序。Yara 引擎是跨平台的,可在 Windows、Linux 和 Mac ...
yara-1.7.1.zip
06-05
这些规则是由一系列字符串、元组和条件语句组成的,可以匹配内存中的数据或磁盘上的文件内容。在1.7.1版本中,可能包含了一些特定的功能改进、bug修复或者性能优化。 在源代码包"yara-1.7.1"中,我们可以期待以下几...
yara的规则文件,包括一些主流的病毒家族规则匹配文件
01-25
1. **字符串(Strings)**:这是规则中最基础的部分,可以是静态字符串、十六进制表示的字节序列、正则表达式等,用于匹配文件或内存中的数据。 2. **条件(Conditions)**:这是对字符串集合的逻辑操作,例如“AND...
YARA-GUI:YARA模式匹配扫描仪GUI。 原始回购https
04-01
特征拖放目标目录扫描编译规则缓存最喜欢/最近的规则菜单查看字符串和元信息熵和数据可视化命令行启动扫描YARA GUI中的图形和数据可视化总熵总文件熵呈现为进度条。 熵是按字节分布计算的,因此可能的值在0到8之间。...
YARA-sort:亚拉排序
04-03
YARA的基本概念是创建可执行的规则来匹配特定的字节模式,这些规则可以包括字符串、条件语句、逻辑运算符等。这些规则通常用于查找恶意软件样本中的特定特征,例如PE头信息、特定的API调用序列或加密算法的痕迹。 #...
恶意软件匹配引擎Yara
Yale的博客
03-29 2181
在使用之前,先来看看yara规则是什么样子的 如下是典型一个yara规则 YARA的规则可以复杂和强大到支持通配符、大小写敏感字符串、正则表达式、特殊符号以及其他特性。 我们在规则定义中有两个主要部分。 第一部分是字符串:用于定义变量。 在这种情况下,变量的类型是字符串。 如果我们有不同类型的变量,可能会有多个部分。 第二部分是条件:我们定义逻辑以匹配预期数据。 关键字: YARA规则的标识符类...
C++语言特性(长期更新)
YarAx的博客
03-15 567
C++是一门需要不断实践的语言,因为他的各种特性,编程技巧实在太多了,多到几乎难以完全掌握。可以说,学的越深入,用的越多,越发现自己的无知。所以,仅此记录自己在学习C++过程中或疑惑不解,或认知出错,或惊为天人的一些语言特性、编程技巧与底层内涵! 拥有虚函数的类会有一个虚表,而且这个虚表存放在类定义模块的数据段中。模块的数据段通常存放定义在该模块的全局数据和静态数据,这样我们可以把虚表看作是模...
二进制程序分析 工具简介
whatday的专栏
10-02 3245
目录 介绍 静态分析 静态分析方法—Virus Total 静态分析方法—字符串分析 静态分析方法—查壳工具die 静态分析方法—PE结构工具Cff 静态分析方法—ELF结构处理命令readelf 静态分析方法—ELF结构处理命令ldd 静态分析方法—PE/ELF/DEX结构处理工具010editor 静态分析方法—Restorator 静态分析方法—逆向篇(IDA) 静态分析方法—逆向篇(Ghidra) 动态分析 行为分析方法—Process Monitor 行为分析方法—S
yara规则--构建yara规则库
无痕的博客
04-19 1672
多种方式构建yara规则库
yara规则初识
无痕的博客
11-02 2114
YARA 是一个免费开源工具,旨在帮助安全人员检测和分类恶意软件,但它不应仅限于这一种用途。YARA规则还可以帮助检测特定文件或您可能想要检测的任何内容。目前使用YARA 的知名软件有赛门铁克、火眼、卡巴斯基、VirusTotal、安天等。
探秘YARA规则库:反勒索软件的强大力量
gitblog_00077的博客
05-29 339
探秘YARA规则库:反勒索软件的强大力量 项目地址:https://gitcode.com/rivitna/Malware 1、项目介绍 在这个数字时代,勒索软件已经成为网络威胁的一大毒瘤。为了对抗这些恶意程序,YARA rules 提供了一个强大的解决方案。该项目专注收集和维护针对各种知名勒索软件家族的检测规则,包括但不限于Akira、Babuk、BlackByte等数十种流行变种。通过这些规则...
使用yara分析
weixin_34050389的博客
09-03 1862
有时碰到大批量的样本,又发现其中很多相似点,这个时候就需要模式匹配了,yara在分析中当之无愧。 具体的yara规则是怎么回事,freebuff上有相关的文章,要不然看文档也是可以的。这里只记录我第一次使用的几个步骤。 (1)下载yara,大家直接去github上找,我选择了C++写的代码。 (2)解压后找到yara-3.8.1\window...
YARA语法
Snake_74的博客
06-30 1232
文章目录YARA基础语法 YARA基础语法 YARA关键字 all in private and include rule any index rva ascii indexes section at int8 strings condition int16 them contains int32 true entrypoint matches uint8 false ...
YARA教程:恶意软件分析利器
5. **条件**:除了基础的字符串匹配YARA规则可以包含条件判断,比如检查字符串出现的次数、文件大小、执行入口点等。 6. **数据访问**: - **字符串计数**:统计样本中某个字符串出现的次数。 - **定位并访问...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值