静态扫描之Yara第一话--安装及使用Yara

最新推荐文章于 2024-10-27 19:28:30 发布
最新推荐文章于 2024-10-27 19:28:30 发布
阅读量1.4w 收藏 25
点赞数 5
分类专栏: 恶意软件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/79012453
版权
本文介绍了Yara这款安全工具的安装、使用和规则获取。通过安装指南,解决Linux环境下遇到的问题,并展示如何进行基本的规则测试。接着,介绍了如何获取现成的yara规则库,并下载恶意样本进行静态扫描。文章最后提到了在扫描过程中可能出现的警告及其原因。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Yara安装及使用

概述

Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。

项目地址:https://github.com/VirusTotal/yara

下载及安装

Linux:

apt-get install yara apt-get install python-yara /pip install yara

Windows:

https://www.dropbox.com/sh/umip8ndplytwzj1/AADdLRsrpJL1CM1vPVAxc5JZa?dl=0&lst=

 pip install yara-python

问题解决:

yara: error while loading shared libraries: /usr/lib/libyara.so: cannot open shared object file: No such file or directory

apt安装python-yara后,libyara.so放在了~/.local目录下,将libyara.so复制到/usr/lib目录下即可。 PS:输入命令grep libyara.so * -r寻找libyara.so的具体位置

测试:

最低0.47元/天 解锁文章
使用python调用yara进行文件检测
zhizhi120的博客
01-25 1384
使用python实现对yara的调用
基于YARA 和NESSUS 的威胁探测
TenableSecurity的博客
04-21 2427
在Nessus6.7 发布的时候,其就被公布有文件系统扫描的功能比如可以查找特定的位于某磁盘上的文件残骸。这个功能是继6.7版本可以支持运行过程排查功能的一段时间后的又一新特点。现在,作为Nessus6.8版本的一部分,我们引进了YARA到Windows恶意软件扫描子系统里。结合YARA, Nessus6.8可以提供另外一种方法来定义规则并搜索基于文本或者二进制模式的文件。 什么是 YARA?
yara安装使用
weixin_43781139的博客
03-09 8892
yara安装使用环境及安装工具使用yara规则编写strings部分转义大小写字符集表示匹配单个词组文本字符串condition部分infilesizeatentrypointint8/16/32、uint8/16/32of???[X-Y]them/($*)@!for xxx of xxx :(xxx)for xxx i in (xxx) :(xxx)其他yara关键字globalprivateTagRule引用规则importinclude注释mate外部变量 环境及安装 操作系统:win10 安装地址
静态编译yara
weixin_43074760的博客
12-26 556
使用Ubuntu系统,下载yara源码,解压后进入yara目录中。尝试在低版本系统中运行,运行成功。查看文件属性进行确认。
yara安装以及使用
qq_35576225的博客
11-07 1008
1.yara官方github库 https://github.com/VirusTotal/yara/releases 2.恶意软件库 https://github.com/ytisf/theZoo 3.yara规则 https://github.com/Yara-Rules/rules 4.yara规则自定义 https://www.cnblogs.com/SunsetR/p/12650325.html
YARA Forge 项目使用教程
gitblog_00560的博客
09-13 785
YARA Forge 项目使用教程 yara-forge Automated YARA Rule Standardization and Quality Assurance Tool 项目地址: https://gitcode.c...
掌握YARA规则引擎的使用
# 1. YARA规则引擎简介 YARA规则引擎是一款用于检测恶意软件和进行数字取证的强大工具。本章将介绍YARA规则引擎的基本概念、应用领域以及与其他安全工具的关系。 ## 1.1 什么是YARA规则引擎? YARA规则引擎是一种...
免杀对抗-基础知识入门和如何对抗反沙箱、反调试技术 第一
最新发布
2301_77578012的博客
10-27 1233
【代码】免杀对抗-基础知识入门和如何对抗反沙箱、反调试技术 第一天。
Yara对红队工具“打标”
hongduilanjun的博客
08-10 321
YARA 通常是帮助恶意软件研究人员识别和分类恶意软件样本的工具,它基于文本或二进制模式创建恶意样本的描述规则,每个规则由一组字符串和一个布尔表达式组成,这些表达式决定了它的逻辑。但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
Go绑定yara静态编译无依赖恶意代码扫描工具
Eric
05-31 1298
yum install -y glibc-static libstdc++-static autoconf automake libtool wget https://codeload.github.com/VirusTotal/yara/tar.gz/v4.11.0 tar -zxvf v4.11.0 cd yara-4.11.0/ ./bootstrap.sh ./configure --disable-shared --enable-static --without-crypto ma.
YARA-GUI:YARA模式匹配扫描仪GUI。 原始回购https
04-01
雅拉贵 这是二进制模式匹配扫描器的GUI。 特征 拖放目标 目录扫描 编译规则缓存 最喜欢/最近的规则菜单 查看字符串和元信息 熵和数据可视化 命令行启动扫描 YARA GUI中的图形和数据可视化 总熵 总文件熵呈现为进度条。 熵是按字节分布计算的,因此可能的值在0到8之间。 熵图 在整个文件的大小相等的块上,按d [bytes [i]] ++计算字节分布。 折线图上的每个点都代表在该块的分布上计算出的熵。 水平轴表示文件中的位置,左侧偏移量为0。 垂直轴表示该块的熵,介于0和8之间。 二维熵直方图 在整个文件中,计算d [bytes [i]] [bytes [i + 1]] [bytes [i + 2]] ++的3D分布。 计算最后一个字节z上的熵d [x] [y] [z] ,并将其绘制在坐标x,y上。 轴从左上方的字节0x00开始,从右下方的字节0xFF开始。 像素的颜色
yara工具入门
you_get_me_there的博客
05-23 267
yara入门 规则简介
YARA安装与配置
骑上单车去旅行的博客
07-24 428
综上所述,‌YARA安装与配置过程需要确保前置软件的正确安装,‌然后根据操作系统选择合适的安装方法,‌并编写或使用预定义的规则文件来进行匹配操作。涉及几个关键步骤,‌包括前置软件的安装、‌YARA本身的安装,‌以及可能需要的配置调整。‌以下是一个概述:‌。
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-04 2033
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
YARA扫描svchost.exe
WLINX
04-15 540
一般来说,只知道svchost.exe被注入了shellcode,但是不知道注入了那个,需要扫描当前系统的所有svchost.exe时,人工输入进程的PID比较麻烦,简单写了个脚本来实现自动输入参数。 import psutil import os processdict = {} # 存放进程信息的字典 path = os.path.split(os.path.realpath(__file__))[0]#当前脚本路径 def main(): print("----------------
yara 源码学习(三)  扫描部分
lacoucou的专栏
06-13 1134
yara源码学习 yara程序的扫描过程
Loki:简单高效的IOC和YARA扫描
gitblog_01113的博客
09-14 339
Loki:简单高效的IOC和YARA扫描器 Loki Loki - Simple IOC and YARA Scanner 项目地址: https://gitcode.com/gh_mirrors/lo/Loki ...
YARA:第七章-模块使用之PE
不断学习,不断进步。
07-12 1038
模块是对Yara检测功能的扩展。一些模块例如PE、Cukoo等模块是Yara正式支持的模块,随Yara正式发布。当然,用户可以根据自己的需求创建自己的模块集成到Yara程序中。Yara支持在规则文件中导入模块对象,这些导入语句一般放在文件的开始部分,使用关键字"import"和模块名。接下来我们就可以使用所导入模块所支持的函数或者变量。
静态扫描Yara第四--编写yara规则(3)
安全杂货铺
01-09 1607
编写简单高效的yara规则(3) 翻译自:https://www.bsk-consulting.de/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/ 距离我写How to Write Simple but Sound Yara Rules – Part2 已经有一段时间了。从那之后,我改进了我的规则创建方法,新方法生成
YARA-sort:提升YARA规则排序效率
资源摘要信息:"YARA-sort是一个与YARA(Yet Another Rich Analyzer)相关的工具,主要用于对YARA签名进行排序处理。YARA是一种用于识别和分类恶意软件的工具,它允许安全研究人员和分析师通过编写规则来定义恶意软件...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值