YARA:第十二章-模块使用之Time、Console和String

最新推荐文章于 2024-08-16 18:41:12 发布
最新推荐文章于 2024-08-16 18:41:12 发布
阅读量722 收藏 14
点赞数 15
分类专栏: 威胁检测-Yara 文章标签: 安全威胁分析 全文检索 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29490749/article/details/140415114
版权

1. Time

        Time模块允许用户在编写Yara规则时使用时间作为规则的一部分。

        下面是Time模块支持的方法:

名称

类型

描述

time.now()

方法

获取当前时间,此函数返回一个整形值,表示从1970年1月1日开始距离现在时间的秒数。

使用示例如下:

pe.timestamp > time.now()

2. Console

        Console模块允许Yara在执行条件块时向终端(默认情况下是stdout)输出一些用户自定义日志信息。因此Console模块所支持的方法都在条件块中,因此模块中每个函数的返回均为true。

        Console模块使用示例如下:

import "console"

rule example
{
    condition:
        console.log("Hello") and console.log("World!")
}

        下面是Console模块支持的方法:

名称

类型

描述

console.log(string)

方法

此方法将指定字符串发送到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log(hash.md5(0, filesize))

console.log(message, string)

方法

此方法返回消息和字符串到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log("This is file md5:",hash.md5(0, filesize))

console.log(integer)

方法

此方法将指定整型值发送到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log(time.now())

console.log(message, integer)

方法

此方法返回消息和整型值到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log("This is time now:",time.now())

console.log(float)

方法

此方法将指定浮点型值发送到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log(math.entropy(0, filesize))

console.log(message, float)

方法

此方法返回消息和浮点型值到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log("This is file entropy:", math.entropy(0, filesize))

console.hex(integer)

方法

此方法将指定整型值的十六进制发送到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log(uint32(0))

console.hex(message, integer)

方法

此方法返回消息和整型值的十六进制发到Console或者回调函数中(回调函数是通过libyara注册函数注册的回调接口)。

使用示例如下:

console.log("This is hex:",uint32(0))

3. String

        String模块允许在Yara规则中使用此模块函数对一些给定字符串进行转化或计算。需要注意的是,String模块支持的字符串转化不是Yara规则中字符串块中所包含的字符串。

        下面是String模块支持的方法:

名称

类型

描述

string.to_int(string)

方法

此方法将给定的字符串转换为有符号整形。如果字符串以"0x"开头,则默认视为16进制。如果字符串以"0"开头,则默认视为8进制。此方法还支持字符串以"+"或"-"开头。

使用示例如下:

string.to_int("1234") == 1234 

string.to_int("-10") == -10

string.to_int("-010") == -8

string.to_int(string, base)

方法

此方法将给定的字符串转换成有符号整形,此外,此函数需要用户给定待转换的字符串的进制类型。参数base标识进制类型,此参数值规定范围为0或者2到36之间。如果base参数为0,则此方法根据字符串格式自动匹配进制类型,如果字符串以"0x"开头,则默认视为16进制。如果字符串以"0"开头,则默认视为8进制。此方法还支持字符串以"+"或"-"开头。

使用示例如下:

string.to_int("011", 8) == 9 

string.to_int("-011", 0) == -9

string.length(string)

方法

此方法规返回指定字符串的长度,字符串可以是任意序列,包括NULL字节。

使用示例如下:

string.length("只道那时是寻常") == 21

string.length("zhidaonashishixunchang") == 22

_只道当时是寻常
关注
  • 15
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1130
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
Yara: Yet Another RSS Aggregator-开源
05-13
Yara,全称为"Yet Another RSS Aggregator",是一个开源项目,专为处理RSS(Really Simple Syndication) ...通过使用Yara,开发者能够便捷地管理和展示来自多源的实时信息,提升用户体验,同时也降低了开发复杂性。
YARA:第十三章-编写定制化模块
qq_29490749的博客
07-17 1289
Yara 3.0版本起,用户可以自主开发定制化模块,以满足其特定的检测需求。这些模块可以无缝集成到Yara的检测引擎中,为用户提供更加个性化和高效的威胁检测解决方案。
YARA:第十五章-libyara使用威胁检测)
qq_29490749的博客
07-19 1444
YARA是一个流行的开源项目,用于恶意软件检测和分析。它允许用户定义规则,这些规则可以识别和分类恶意软件样本。YARA 的强大之处在于其灵活性和易用性,尤其是在 C/C++ 项目中。本文将详细介绍如何通过 YARA 的 C API 集成和使用 YARA,从而将 YARA 无缝集成到您的安全解决方案中。
YARA:第十七章-优化规则,提升Yara扫描效率
qq_29490749的博客
07-23 1258
YARA是一个流行的开源项目,广泛应用于恶意软件扫描、数据泄露检测等领域。YARA 的强大之处在于其规则灵活性和易用性以及支持自定义模块的集成。本章介绍如何通过优化规则来提升Yara的检测效率。
YARA:第十六章-libyara之C API手册(威胁检测)
qq_29490749的博客
07-22 1015
libyara的C API接口参考手册。
内存取证-Volatility安装使用以及一些CTF比赛题目
热门推荐
Bnessy
04-02 2万+
一 、简介 Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。 二 、安装Volatility 下载源码 https://github.com/volatilityfoundation/volatility 解压 unzip volatility-master.zip 安装依赖 crypto pip2 install pycryptodome #如果安装失败,可使用以下命令切换国内源 pip2
Volatility2安装使用以及CTF比赛题目(复现)
Aluxian_的博客
12-05 5907
Volatility是一款开源内存取证框架,能够对导出的内存镜像进行分析,通过获取内核数据结构,使用插件获取内存的详细情况以及系统的运行状态。题目链接:链接: https://pan.baidu.com/s/1s9Ey8G12COT_vI65TwhIKw?pwd=shkd 提取码: shkd Volatility2.6需要python2,pip安装模块也需要2版本,具体命令根据实际情况调整。本次是比赛题目的复现参考大佬链接自己在做了一遍:https://bnessy.blog.csdn.net/articl
Go框架,库和软件的精选列表
思月行云
05-05 3050
2018最新精选的Go框架,库和软件的精选列表 一 https://awesome-go.com/ 2018最新精选的Go框架,库和软件的精选列表 二 https://awesome-go.com/ 2018最新精选的Go框架,库和软件的精选列表 三 https://awesome-go.com/ 2018最新精选的Go框架,库和软件的精选列表 四 https://awesome-go.co...
OtterCTF—内存取证wp
m0_66638011的博客
05-09 5102
前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后赶紧找题目学习一下,学长介绍的这个OtterCTF靶场个人认为非常好,很适合像我这样的初学者。这个靶场的题目我觉得特别好,主要就是学习volatility工具和取证思维方式。以下是volatility工具的使用方法,可供参考。用法: Volatility - 内存取证分析平台Options:-h, --help 列出所有可用选项及其默认值默认值可以在配置文件中设置基于用户的配置文件。
awesome-yara:精选的YARA出色规则,工具和人员的清单
01-31
【标题】"awesome-yara" 是一个集合了各种优秀YARA规则、工具和专家资源的综合清单,旨在为网络安全专业人士提供强大的支持,特别是在威胁狩猎、恶意软件分析和研究领域。 【描述】这个项目名为"awesome-yara",是...
CCCS-Yara:YARA规则元数据规范和验证实用程序YARA规则的规范和验证
05-08
加拿大网络安全中心CCCS YARA规范创建是为了定义和验证YARA规则元数据的样式和格式。 多年来,我们看到了许多YARA规则; 为了充分利用它们的潜力,即使对于我们自己制定的规则,我们也总是必须修改一些与它们相关的...
clamav-yara:将Clamav病毒数据库定义转换为YARA规则[GOLANG]
05-09
将ClamAV定义转换为Yara规则 === Clamav To Yara具有以下特点: 定期从clamav下载定义:目前在main.go中进行硬编码为4个小时 通过Etag检查定义是否已更改 保留:检查定义文件的哈希是否有效。 通过使用freshclam在...
chef-yara:安装 YARA 恶意软件研究工具的 Chef Cookbook
06-12
描述用于安装和配置Chef 食谱,这是一款适用于恶意软件研究人员的模式匹配瑞士刀。用法在run_list包含yara::default配方。 要禁用安装 yara-python 设置以下属性: default[:yara][:install_yara_python] = false...
区分恶意加密货币地址:基于西里尔字母伪装的安全隐患分析
weixin_47075747的博客
08-13 316
在当前的网络环境中,安全威胁变得越来越复杂,特别是在涉及加密货币交易时,攻击者常常利用各种手段来欺骗用户。乍看之下,这两个地址似乎是完全一致的,但实际上,第二个地址中的最后三个字母“СММ”并不是常见的拉丁字母“CMM”,而是西里尔字母中的字符“С”和“М”。随着加密货币的广泛应用,类似的安全威胁将继续增加,用户和安全从业者需要保持高度警惕,采取适当的防范措施,以确保资金安全。用户在复制或手动输入地址时,极易被这些看似相同的字符迷惑,从而将资金转移至恶意地址,造成严重的经济损失。
weblogic漏洞——CVE-2020-14882
weixin_57379923的博客
08-13 715
版 权 声 明:本博客所有文章除特别声明外,均采用。文章版权归作者所有,未经允许请勿转载!靶机:IP:192.168.100.40。在 web 服务器中写入 xml 脚本。作 者:PeiyuJue。
ES高级查询Query DSL查询详解、term术语级别查询、全文检索、highlight高亮
qq_44027353的博客
08-12 1264
可以在highlight中使用pre_tags和post_tags"query": {"query": "牛仔",},"*": {}
特洛伊木马:现代网络安全的隐形威胁
最新发布
weixin_48579910的博客
08-16 281
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
YARA教程:恶意软件分析利器
YARA用户手册是一份详细的指南,专为那些想要利用YARA这款强大的工具进行恶意软件分析和分类的专家设计。YARA是一个功能丰富的规则语言,用于在样本中搜索特定模式,如字符串、正则表达式、条件和其他元数据。以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_只道当时是寻常

打赏不得超过工资的一半呦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值