Go绑定yara静态编译无依赖恶意代码扫描工具

最新推荐文章于 2024-06-05 10:05:59 发布
最新推荐文章于 2024-06-05 10:05:59 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37322178/article/details/117418414
版权

 1. yara环境搭建

 sudo apt-get install automake libtool make gcc pkg-config

wget https://github.91chifun.workers.dev/VirusTotal/yara/archive/refs/tags/v4.1.1.tar.gz

tar -zxvf v4.1.1.tar.gz  
 cd yara-4.1.1/
./bootstrap.sh 
./configure --disable-shared --enable-static --without-crypto
make && make install
cp /usr/local/lib/pkgconfig/yara.pc   /usr/lib64/pkgconfig 

export YARA_SRC=/opt/src/yara-4.1.1
export CGO_CFLAGS="-I${YARA_SRC}/libyara/include"
export CGO_LDFLAGS="-L${YARA_SRC}/libyara/.libs -lyara -lm"

go get github.com/hillu/go-yara/v4

 2. 编写测试文件 test.go

package main

import (
	yara "github.com/hillu/go-yara/v4"
	"io/ioutil"
	"os"
	"fmt"
)

func main() {
	rule := "rule test : tag1 { meta: author = \"Matt Blewitt\" strings: $a = \"abc\" fullword condition: $a }"
	c, err := yara.NewCompiler()
	if c == nil || err != nil {
		return
	}
	if err = c.AddString(rule, ""); err != nil {
		return
	}
	r, err := c.GetRules()
	if err != nil {
		return
	}
	s, err := yara.NewScanner(rules)
	if err != nil {
		return
	}
	tf, _ := ioutil.TempFile("", "TestScannerSimpleFileMatch")
	defer os.Remove(tf.Name())
	tf.Write([]byte(" abc "))
	tf.Close()
	var m yara.MatchRules
	if err := s.SetCallback(&m).ScanFile(tf.Name()); err != nil {
		return
	} else if len(m) != 1 {
		return
	}
	fmt.Printf("Matches: %+v", m)
}

猿进化
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
静态扫描Yara第一话--安装及使用Yara
安全杂货铺
01-09 1万+
Yara安装及使用 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
前往YARA进行装订-Golang开发
05-26
go-yara用于YARA的Go绑定,在从yara-python实现中获得启发的同时,尽可能地与库的C-API保持紧密联系。 安装Unix在具有libyara_版本go-yara的Unix系统上,用于YARA,在从yara-python实现中获得启发的同时,尽可能地与库的C-API保持紧密联系。 构建/安装在具有libyara版本4的Unix系统上,安装相应的头文件和pkg-config,只需执行以下操作:go get github.com/hillu/go-yara go install github.com/hillu/go-yara如果libyara具有如果将其安装到自定义位置,则可以使用PKG_CONFIG_PATH环境变量将pkg-config指向正确的yara.pc文件。 为
Go编写的跨平台Yara扫描仪-Golang开发
05-26
Kraken是一款简单的跨平台Yara扫描仪,可以针对Windows,Mac,FreeBSD和Linux构建。 它主要用于事件响应,研究和临时检测(不适用于端点保护)。 以下是核心功能Kraken是可用于Windows,Mac,FreeBSD和Linux的简单跨平台Yara扫描仪。 它主要用于事件响应,研究和临时检测(不适用于端点保护)。 以下是核心功能:使用提供的Yara规则(利用go-yara扫描正在运行的可执行文件和正在运行的进程的内存。 扫描安装的可执行文件以自动运行(利用go-autoruns)。 使用提供的Yara规则扫描文件系统。 将任何检测结果报告给远程服务器
yaya:另一个Yara自动机-自动整理开源yara规则并运行扫描
04-01
YAYA-另一个Yara自动机 自动整理开源yara规则并运行扫描 安装 go get github.com/EFForg/yaya cd $GOPATH/src/github.com/EFForg/yaya go build go install 依存关系 Yaya依赖于标准库之外的以下软件包: 您还必须安装yara4 C库。 我们建议您从源代码安装这些文件: : 跑步 用法 yaya [-h] <command> <path> -h print this help screen Commands: update - update rulesets edit - ban or remove rulesets add - add a custom ruleset, located at <path> scan - perform a yara scan on the d
探寻内存深处的威胁:YAMA - 你的恶意软件检测利器
最新发布
gitblog_00054的博客
06-05 350
探寻内存深处的威胁:YAMA - 你的恶意软件检测利器 项目地址:https://gitcode.com/JPCERTCC/YAMA 在数字安全的世界中,对抗无形的敌人——恶意软件,我们需要不断进化和适应的新策略。YAMA(Yet Another Memory Analyzer) 正是这样一款创新工具,它专为内存中的恶意软件检测而设计,特别是在面对文件无痕型恶意软件时,YAMA 能帮助你迅速响应...
静态编译yara
weixin_43074760的博客
12-26 449
使用Ubuntu系统,下载yara源码,解压后进入yara目录中。尝试在低版本系统中运行,运行成功。查看文件属性进行确认。
go-yara实践问题记录
my_miuye的博客
07-26 1144
今天试了一下go-yara,中途遇到了不少环境问题,因此记录一下。     先贴测试代码,从别人博客里偷的:https://blog.csdn.net/qq_37322178/article/details/117418414 package main import ( yara "github.com/hillu/go-yara" "io/ioutil" "os" "fmt" ) func main() { rule := `rule test { meta: d
clamav-yara:将Clamav病毒数据库定义转换为YARA规则[GOLANG]
05-09
将ClamAV定义转换为Yara规则 === Clamav To Yara具有以下特点: 定期从clamav下载定义:目前在main.go中进行硬编码为4个小时 通过Etag检查定义是否已更改 保留:检查定义文件的哈希是否有效。 通过使用freshclam在我们的服务器上安装clamav并设置服务器的URL来解决此问题,该服务器以HTTPS下载 提取签名并生成YARA规则。 目前,解析的ClamAV文件为:NDB,HDB,HSB。 MDB和MSB也可以完成,但是需要找到一种方法来生成适当的YARA规则。 === 如何产生规则 git clone https://github.com/sec51/clamav-yara.git go build go test -v ./clamav-yara 然后,您可以在rules文件夹中找到生成的Yara规则 === 去做 在OSX和LINUX上
Go-Kraken是一个简单基于Yara的跨平台IOC扫描工具
08-14
1. **跨平台支持**:Go-Kraken利用Go语言的跨平台特性,可以在不同的操作系统上运行,包括Windows、macOS和Linux,这使得它在各种环境下的适用性非常广泛。 2. **基于Yara**:由于依赖Yara,Go-Kraken能够处理...
chef-yara:安装 YARA 恶意软件研究工具的 Chef Cookbook
06-12
描述用于安装和配置Chef 食谱,这是一款适用于恶意软件研究人员的模式匹配瑞士刀。用法在run_list包含yara::default配方。 要禁用安装 yara-python 设置以下属性: default[:yara][:install_yara_python] = false...
kraken - Go语言编写的YARA跨平台扫描器.zip
07-18
Go语言,简称Golang,是Google开发的一种静态类型的、编译型的、并发型的、垃圾回收的、C/C++风格的编程语言。其设计目标是提供简单、高效的编程环境,尤其适合并发和网络编程。Go语言的特性如轻量级线程...
CVE-2019-0708扫描工具.rar
11-14
CVE-2019-0708扫描工具亲测可用
南开大学-恶意代码分析实验报告合集
03-16
本文件包含南开大学《恶意代码分析与防治技术》课程学期的所有实验报告、实验样本及部分必要的工具,实验报告内容仅供参考。 实验内容除Lab2为补充的Yara规则实验外,其它均为课本《恶意代码恶意代码分析实战》中...
pyarascanner:一个简单的多规则多文件YARA扫描仪,用于事件响应或恶意软件动物园
05-15
多线程多文件多规则YARA扫描仪,用于事件响应或恶意软件动物园 先决条件 安装了YARA并使用Yara-Python软件包安装了Python 3.0-3.5 pip install yara-python Yara-Python需要在``Visual Studio 2017的生成工具''下...
ScalaYara:Yara 恶意软件研究工具的 Scala 包装器
06-21
Scala亚拉ScalaYara 是许多恶意软件研究工具的 Scala 包装器: 。 它使您可以在 Scala 程序中使用 Yara。 该代码利用来直接调用 Yara C API。 简单、简洁的 md5、sha1 和 sha256 散列。 UUID5 实现。 一个 unix 文件...
eYARA:使用YARA规则等扫描入站电子邮件
05-18
eYARA是用于根据YARA规则集扫描传入电子邮件以在电子邮件及其附件中查找恶意软件和其他可疑内容的应用程序。 功能性 作为后台进程运行,以按照YARA规则扫描所有入站电子邮件规则是内置的,但您也可以提供自定义规则 ...
go --- 常用第三方库整理
my_miuye的博客
05-19 580
go常用第三方库整理
Golang 实现 Yaml编码和解码入门
牛肉胡辣汤
11-02 499
​字段会映射到YAML中的"count"键,并添加一个额外的omitempty选项,表示在序列化时如果字段值为零值,则忽略该字段。总结: "gopkg.in/yaml.v2"包提供了一种方便的方式来解析和生成YAML格式的数据。​包,我们可以很方便地将Go结构体转换为Yaml格式的字符串,以及将Yaml字符串解码为Go结构体。在这篇文章中,我们将介绍如何使用Go语言编写代码来实现Yaml编码和解码。​函数将其编码为Yaml格式的字符串。在上面的代码中,我们定义了一个Yaml格式的字符串,并将其赋值给​。
解决go包管理代理网址无法访问:proxy.golang.org
yunyin_link的博客
02-27 2090
go相关官方地址被墙真的很让人暴躁: go版本:go version go1.13.6 windows/amd64 安装gin框架时使用了:go get github.com/beego/beego/v2@v2.0.0 然后: go get: github.com/beego/beego/v2@v2.0.0: Get "https://proxy.golang.org/github.com/beego/beego/v2/@v/v2.0.0.info": dial tcp 172.217.160..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值