Go绑定yara静态编译无依赖恶意代码扫描工具

最新推荐文章于 2024-06-05 10:05:59 发布
最新推荐文章于 2024-06-05 10:05:59 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37322178/article/details/117418414
版权

 1. yara环境搭建

 sudo apt-get install automake libtool make gcc pkg-config

wget https://github.91chifun.workers.dev/VirusTotal/yara/archive/refs/tags/v4.1.1.tar.gz

tar -zxvf v4.1.1.tar.gz  
 cd yara-4.1.1/
./bootstrap.sh 
./configure --disable-shared --enable-static --without-crypto
make && make install
cp /usr/local/lib/pkgconfig/yara.pc   /usr/lib64/pkgconfig 

export YARA_SRC=/opt/src/yara-4.1.1
export CGO_CFLAGS="-I${YARA_SRC}/libyara/include"
export CGO_LDFLAGS="-L${YARA_SRC}/libyara/.libs -lyara -lm"

go get github.com/hillu/go-yara/v4

 2. 编写测试文件 test.go

package main

import (
	yara "github.com/hillu/go-yara/v4"
	"io/ioutil"
	"os"
	"fmt"
)

func main() {
	rule := "rule test : tag1 { meta: author = \"Matt Blewitt\" strings: $a = \"abc\" fullword condition: $a }"
	c, err := yara.NewCompiler()
	if c == nil || err != nil {
		return
	}
	if err = c.AddString(rule, ""); err != nil {
		return
	}
	r, err := c.GetRules()
	if err != nil {
		return
	}
	s, err := yara.NewScanner(rules)
	if err != nil {
		return
	}
	tf, _ := ioutil.TempFile("", "TestScannerSimpleFileMatch")
	defer os.Remove(tf.Name())
	tf.Write([]byte(" abc "))
	tf.Close()
	var m yara.MatchRules
	if err := s.SetCallback(&m).ScanFile(tf.Name()); err != nil {
		return
	} else if len(m) != 1 {
		return
	}
	fmt.Printf("Matches: %+v", m)
}

猿进化
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go编写的跨平台Yara扫描仪-Golang开发
05-26
Kraken是一款简单的跨平台Yara扫描仪,可以针对Windows,Mac,FreeBSD和Linux构建。 它主要用于事件响应,研究和临时检测(不适用于端点保护)。 以下是核心功能Kraken是可用于Windows,Mac,FreeBSD和Linux的简单跨平台Yara扫描仪。 它主要用于事件响应,研究和临时检测(不适用于端点保护)。 以下是核心功能:使用提供的Yara规则(利用go-yara扫描正在运行的可执行文件和正在运行的进程的内存。 扫描安装的可执行文件以自动运行(利用go-autoruns)。 使用提供的Yara规则扫描文件系统。 将任何检测结果报告给远程服务器
yaya:另一个Yara自动机-自动整理开源yara规则并运行扫描
04-01
YAYA-另一个Yara自动机 自动整理开源yara规则并运行扫描 安装 go get github.com/EFForg/yaya cd $GOPATH/src/github.com/EFForg/yaya go build go install 依存关系 Yaya依赖于标准库之外的以下软件包: 您还必须安装yara4 C库。 我们建议您从源代码安装这些文件: : 跑步 用法 yaya [-h] <command> <path> -h print this help screen Commands: update - update rulesets edit - ban or remove rulesets add - add a custom ruleset, located at <path> scan - perform a yara scan on the d
探寻内存深处的威胁:YAMA - 你的恶意软件检测利器
最新发布
gitblog_00054的博客
06-05 350
探寻内存深处的威胁:YAMA - 你的恶意软件检测利器 项目地址:https://gitcode.com/JPCERTCC/YAMA 在数字安全的世界中,对抗无形的敌人——恶意软件,我们需要不断进化和适应的新策略。YAMA(Yet Another Memory Analyzer) 正是这样一款创新工具,它专为内存中的恶意软件检测而设计,特别是在面对文件无痕型恶意软件时,YAMA 能帮助你迅速响应...
go-yara实践问题记录
my_miuye的博客
07-26 1144
今天试了一下go-yara,中途遇到了不少环境问题,因此记录一下。     先贴测试代码,从别人博客里偷的:https://blog.csdn.net/qq_37322178/article/details/117418414 package main import ( yara "github.com/hillu/go-yara" "io/ioutil" "os" "fmt" ) func main() { rule := `rule test { meta: d
yara规则--构建yara规则库
无痕的博客
04-19 1630
多种方式构建yara规则库
解决go包管理代理网址无法访问:proxy.golang.org
yunyin_link的博客
02-27 2090
go相关官方地址被墙真的很让人暴躁: go版本:go version go1.13.6 windows/amd64 安装gin框架时使用了:go get github.com/beego/beego/v2@v2.0.0 然后: go get: github.com/beego/beego/v2@v2.0.0: Get "https://proxy.golang.org/github.com/beego/beego/v2/@v/v2.0.0.info": dial tcp 172.217.160..
clamav-yara:将Clamav病毒数据库义转换为YARA规则[GOLANG]
05-09
将ClamAV义转换为Yara规则 === Clamav To Yara具有以下特点: 期从clamav下载义:目前在main.go中进行硬编码为4个小时 通过Etag检查义是否已更改 保留:检查义文件的哈希是否有效。 通过使用freshclam在我们的服务器上安装clamav并设置服务器的URL来解决此问题,该服务器以HTTPS下载 提取签名并生成YARA规则。 目前,解析的ClamAV文件为:NDB,HDB,HSB。 MDB和MSB也可以完成,但是需要找到一种方法来生成适当的YARA规则。 === 如何产生规则 git clone https://github.com/sec51/clamav-yara.git go build go test -v ./clamav-yara 然后,您可以在rules文件夹中找到生成的Yara规则 === 去做 在OSX和LINUX上
Golang 实现 Yaml编码和解码入门
牛肉胡辣汤
11-02 498
​字段会映射到YAML中的"count"键,并添加一个额外的omitempty选项,表示在序列化时如果字段值为零值,则忽略该字段。总结: "gopkg.in/yaml.v2"包提供了一种方便的方式来解析和生成YAML格式的数据。​包,我们可以很方便地将Go结构体转换为Yaml格式的字符串,以及将Yaml字符串解码为Go结构体。在这篇文章中,我们将介绍如何使用Go语言编写代码来实现Yaml编码和解码。​函数将其编码为Yaml格式的字符串。在上面的代码中,我们义了一个Yaml格式的字符串,并将其赋值给​。
Go-Kraken是一个简单基于Yara的跨平台IOC扫描工具
08-14
1. **跨平台支持**:Go-Kraken利用Go语言的跨平台特性,可以在不同的操作系统上运行,包括Windows、macOS和Linux,这使得它在各种环境下的适用性非常广泛。 2. **基于Yara**:由于依赖YaraGo-Kraken能够处理...
chef-yara:安装 YARA 恶意软件研究工具的 Chef Cookbook
06-12
描述用于安装和配置Chef 食谱,这是一款适用于恶意软件研究人员的模式匹配瑞士刀。用法在run_list包含yara::default配方。 要禁用安装 yara-python 设置以下属性: default[:yara][:install_yara_python] = false...
kraken - Go语言编写的YARA跨平台扫描器.zip
07-18
Go语言,简称Golang,是Google开发的一种静态类型的、编译型的、并发型的、垃圾回收的、C/C++风格的编程语言。其设计目标是提供简单、高效的编程环境,尤其适合并发和网络编程。Go语言的特性如轻量级线程...
前往YARA进行装订-Golang开发
05-26
go-yara用于YARAGo,在从yara-python实现中获得启发的同时,尽可能地与库的C-API保持紧密联系。 安装Unix在具有libyara_版本go-yara的Unix系统上,用于YARA,在从yara-python实现中获得启发的同时,尽可能地与库的C-API保持紧密联系。 构建/安装在具有libyara版本4的Unix系统上,安装相应的头文件和pkg-config,只需执行以下操作:go get github.com/hillu/go-yara go install github.com/hillu/go-yara如果libyara具有如果将其安装到自义位置,则可以使用PKG_CONFIG_PATH环境变量将pkg-config指向正确的yara.pc文件。 为
CVE-2019-0708扫描工具.rar
11-14
CVE-2019-0708扫描工具亲测可用
静态扫描Yara第一话--安装及使用Yara
热门推荐
安全杂货铺
01-09 1万+
Yara安装及使用 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
静态编译yara
weixin_43074760的博客
12-26 448
使用Ubuntu系统,下载yara源码,解压后进入yara目录中。尝试在低版本系统中运行,运行成功。查看文件属性进行确认。
go --- 常用第三方库整理
my_miuye的博客
05-19 580
go常用第三方库整理
pkg-config用法详解
子曰小玖的博客
01-17 8507
在如今这个开源的环境里,想要开发某个功能,我们都会下意识的上网搜索有没有开源库,如果有开源库,那么好,下载下来给它编译好,使用。但是在使用过程中,你是否遇到不知如何将第三方库编译,链接到自己的工程中?怎么改makefile就是改不好?是否看到开源库lib/中pkgconfig文件夹,想都没想这是干什么用的,打开.pc文件也不知所云?那么好,今天我就总结下开源库中pkgconfig文件夹中.pc文件的作用,以及如何用pkg-config工具将开源库集成到自己的工程中去。 1、pkg-config工具的作用
Go语言特性
冷月醉雪的博客
10-28 458
  由于作者不习惯该编辑器,只是贴出上本文的截图,详见: https://www.yuque.com/docs/share/ea81bf9a-9cd2-45f4-9a71-59187279000f
YARA字符串匹配
无与伦比BLOG
09-28 5260
最近得知 一个开源的工程 YARA ,上网查了一下,获得一下资料 1、YARA——恶意软件模式匹配利器    http://sec.chinabyte.com/419/12863919.shtml 2、http://yara.readthedocs.io/en/v3.5.0/capi.html#c.yr_rules_scan_file WINDOWS 使用VS2015
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值