YARA:第九章-模块使用之Magic

最新推荐文章于 2024-09-16 23:17:14 发布
最新推荐文章于 2024-09-16 23:17:14 发布
阅读量233 收藏 3
点赞数 1
分类专栏: 威胁检测-Yara 文章标签: 安全威胁分析 全文检索 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29490749/article/details/140386862
版权

        Magic Module支持Yara将待检测文件类型作为判定条件放到规则中。需要注意的是,Magic模块只支持Unix、Linux系统,不支持Windows系统。

        Magic模块实现依赖于libmagic库。libmagic能够根据文件的内容识别文件类型,而不仅仅是依赖于文件扩展名。Linux操作系统中file命令就是使用libmagic库来实现其功能。

        Yara的Magic模块支持两个函数分别是type()和mime_type()。而这两个函数返回的内容可以参照Linux系统中file命令执行后返回的内容。

        下表中是对Magic模块支持的函数的介绍:

名称

类型

描述

magic.type()

方法

此函数返回内容可参考Linux系统中执行file命令结果。例如

$file some.pdf

some.pdf: PDF document, version 1.7

此方法使用示例如下:

magic.type() contains "PDF"

magic.mime_type()

方法

此函数返回内容可参考Linux系统中执行file --mime命令结果。例如

$file --mime some.pdf

some.pdf: application/pdf; charset=binary

此方法使用示例如下:

magic.mime_type() contains "application/pdf"

        下面是常见的文件类型,使用file命令查看的结果:

$ file example.txt
example.txt: ASCII text

$ file image.jpg
image.jpg: image/jpeg

$ file animation.gif
animation.gif: image/gif

$ file logo.png
logo.png: image/png

$ file document.pdf
document.pdf: application/pdf

$ file index.html
index.html: text/html

$ file config.xml
config.xml: application/xml

$ file archive.zip
archive.zip: application/zip

$ file data.gz
data.gz: gzip compressed data

$ file data.bz2
data.bz2: bzip2 compressed data

$ file music.mp3
music.mp3: audio/mpeg
_只道当时是寻常
关注
专栏目录
clamav-yara:将Clamav病毒数据库定义转换为YARA规则[GOLANG]
05-09
将ClamAV定义转换为Yara规则 === Clamav To Yara具有以下特点: 定期从clamav下载定义:目前在main.go中进行硬编码为4个小时 通过Etag检查定义是否已更改 保留:检查定义文件的哈希是否有效。 通过使用freshclam在...
Yara: Yet Another RSS Aggregator-开源
05-13
Yara,全称为"Yet Another RSS Aggregator",是一个开源项目,专为处理RSS(Really Simple Syndication) feeds而设计。RSS是一种广泛使用的互联网数据交换格式,它允许用户订阅并获取网站更新,如博客文章、新闻...
静态扫描之Yara第四话--编写yara规则(3)
安全杂货铺
01-09 1564
编写简单高效的yara规则(3) 翻译自:https://www.bsk-consulting.de/2016/04/15/how-to-write-simple-but-sound-yara-rules-part-3/ 距离我写How to Write Simple but Sound Yara Rules – Part2 已经有一段时间了。从那之后,我改进了我的规则创建方法,新方法生成
yara配置简介
weixin_33795833的博客
01-03 584
Yara是一个规则匹配的工具,由于其可以进行文本、二进制文件的匹配,被用在基于特征值的恶意代码检测中,其官方网站在这里。在国内还没见到有太多人使用,在这里先简单介绍一下相关的配置,并列出了其需要的相关工具。1. gccgcc has not been installed on CentOS, you should issue the command: $ sudo yu...
yara语法简介
u013156691的博客
06-20 7114
yara是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,yara规则基于字符串或者二进制模式信息创建恶意软件家族描述信息,yara的每一条描述和规则都是通过一系列字符串和一个布尔表达式构成,并阐述其逻辑。yara规则可以提交给文件或者在运行进程,以帮助研究人员识别其是否属于某个已知运行规则描述的恶意软件家族。     下面是一个yara规则简单的例子:
YARA:第十三章-编写定制化模块
不断学习,不断进步。
07-17 1331
Yara 3.0版本起,用户可以自主开发定制化模块,以满足其特定的检测需求。这些模块可以无缝集成到Yara的检测引擎中,为用户提供更加个性化和高效的威胁检测解决方案。
Python库 | yara_python-3.6.3-cp26-cp26m-win_amd64.whl
03-25
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:yara_python-3.6.3-cp26-cp26m-win_amd64.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
awesome-yara:精选的YARA出色规则,工具和人员的清单
01-31
3. 案例研究和教程:提供使用YARA的实际案例,以及如何编写和应用YARA规则的学习材料。 4. 社区和专家链接:指向YARA开发者、研究人员和社区论坛的链接,供用户交流和寻求帮助。 5. 更新日志和版本控制:记录清单的...
eslint-config-yaraYara Digital Labs JavaScript样式指南
02-04
Yara Digital Labs JavaScript样式指南 用法 我们导出两种ESLint配置供您使用,原始JavaScript和React。 Yara Digital Labs JavaScript样式指南 我们的默认导出包含我们所有的ESLint规则,包括ECMAScript 6+。 它...
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 1237
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
Python知识点:如何使用Elasticsearch与Elasticsearch-py进行全文检索
码农超哥的博客
08-28 3686
使用Elasticsearch与Elasticsearch-py进行全文检索
时间&安全精细化管理平台存在未授权访问漏洞
2301_77012231的博客
09-14 325
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露。
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1182
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
【农信网-注册/登录安全分析报告】
最新发布
09-16 975
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 499
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
3286、穿越网格图的安全路径
Lenyiin
09-16 481
这个问题可以通过图的最短路径算法来解决。我们需要使用一个动态规划 (DP) 方法来记录从起点到每个位置所需的最小健康值。在这个问题中,我们可以将 DP 结合 DFS 来实现。这个解法结合了 DFS 和动态规划,通过在矩阵中维护最小健康值来确保从起点到终点的路径在健康值条件下是可行的。你可以在矩形中往上下左右相邻格子移动,但前提是你的健康值始终是。的,会使你的健康值减少 1。如果你可以到达最终的格子,请你返回。,当你在最终格子的时候,你的健康值也必须为。你开始于矩形的左上角。,你的目标是矩形的右下角。
远程跨境传输大文件如何做到安全又稳定?
镭速的博客
09-14 609
在当今全球化的商业环境中,企业跨境传输大文件的需求日益增长。这不仅涉及到数据的快速迁移,还包括了安全性、稳定性和合规性等多重挑战。本文将探讨企业在跨境传输大文件时可能遇到的问题,以及在传输过程中应注意的事项,并重点介绍镭速在方面的优势。
YARA教程:恶意软件分析利器
YARA用户手册是一份详细的指南,专为那些想要利用YARA这款强大的工具进行恶意软件分析和分类的专家设计。YARA是一个功能丰富的规则语言,用于在样本中搜索特定模式,如字符串、正则表达式、条件和其他元数据。以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_只道当时是寻常

打赏不得超过工资的一半呦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值