基于YARA 和NESSUS 的威胁探测

最新推荐文章于 2024-07-24 16:09:28 发布
最新推荐文章于 2024-07-24 16:09:28 发布
阅读量2.3k 收藏 1
点赞数 2
分类专栏: 安全 文章标签: 恶意软件 二进制 windows 文件系统 威胁探测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tenablesecurity/article/details/70314541
版权
本文介绍了如何结合YARA和NESSUS进行威胁检测。YARA是一种恶意代码查杀引擎,用于识别和分类恶意软件。在NESSUS 6.8版本中,引入了YARA支持,允许通过编写YARA规则进行文件系统扫描。文章详细说明了YARA规则的编写,配置NESSUS的过程,以及如何获取和解释扫描结果。通过实例展示了如何创建和应用YARA规则,以检测IRC BOT机器人程序和UPX压缩的恶意二进制文件。
摘要由CSDN通过智能技术生成

在Nessus6.7 发布的时候,其就被公布有文件系统扫描的功能比如可以查找特定的位于某磁盘上的文件残骸。这个功能是继6.7版本可以支持运行过程排查功能的一段时间后的又一新特点。现在,作为Nessus6.8版本的一部分,我们引进了YARA到Windows恶意软件扫描子系统里。结合YARA, Nessus6.8可以提供另外一种方法来定义规则并搜索基于文本或者二进制模式的文件。

什么是 YARA?

YARA 是一个开源的恶意代码查杀引擎,最初由VirusTotal的软件工程师

Victor Alvarez 开发。其旨在帮助恶意软件研究人员识别和分类恶意软件样本. YARA 的工作原理是由一系列字符串和一个布尔型表达式构成的描述或者规则来阐述其逻辑,以此来识别和分类恶意软件或者程序。 

YARA 规则编

为了更好地诠释此篇博客,这里我会写几个非常简单的YARA规则。 然而YARA 规则本身的语法是非常复杂和强大的(详情请参见 WritingYARA Rul

最低0.47元/天 解锁文章
TenableSecurity
关注
专栏目录
yara规则
weixin_47576228的博客
09-02 1115
本篇参照官网规则,将yara语法总结如本文部分
Yara引擎编译和发布
摔不死的笨鸟的博客
08-05 1224
我们自己设计软件时有很多情况都需要集成yara引擎 项目-管理NuGet程序包,下载几个包并安装 确保是git上最新代码即可编译 package目录下的include和lib是自动添加到项目中的。 发布时要注意除了yara编译需要依赖的jansson、libcrypto、libssl这几个库,把libyara编译好放一块。 除了需要的jansson.h和jansson_config.h,openssl以外,包含yara.h和yara项目中用到的头文件。 ...
Yara规则概述
热门推荐
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
YARA的安装与配置
最新发布
骑上单车去旅行的博客
07-24 172
综上所述,‌YARA的安装与配置过程需要确保前置软件的正确安装,‌然后根据操作系统选择合适的安装方法,‌并编写或使用预定义的规则文件来进行匹配操作。涉及几个关键步骤,‌包括前置软件的安装、‌YARA本身的安装,‌以及可能需要的配置调整。‌以下是一个概述:‌。
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-04 953
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Yara、Snort和Sigma规则
摔不死的笨鸟的博客
03-11 5603
Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。 Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。 SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。 Yara规则 很多人对yara规则是比较熟悉的。 yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。 hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还允许命中更多无关的黑样
Nessus扫描设置
zhaohonghan的博客
06-04 1万+
本文描述的是关于Nessus扫描设置,是基于Nessus官方文档进行的翻译,仅包含New Scan--Advanced Scan中的选项。 本文基于Nessus8.4的Home版本,官方文档原文链接:https://docs.tenable.com/nessus/Content/GettingStarted.htm Basic基础设置 General常规设置 ...
网络安全最新网络安全工具大合集_remnux部署
2301_79985178的博客
05-04 651
Google开发的内存分析框架.– 提取易失性内存(RAM)中的样本.– 允许你从安卓手机中提取短信记录,通话记录,照片,浏览历史,以及密码。–一个网络取证分析框架.–一个网络嗅探工具能够记录所有的DNS响应和被动DNS– 十六进制编辑工具, 能够修改任意大小的硬盘二进制数据,内存,文件句柄– 一个已知漏洞数据库的集合支持CVEs的扩展信息。– 提供简化的便携的底层网络路由接口,包括网络地址操作,内核arp高速缓存,路由表查询和操作,网络防火墙,网络接口查询操作,IP隧道,二进制IP包和以太网传送框架。
网络安全学习中的工具
gugonggugong的博客
12-06 3149
1> Nmap Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。 系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。 其基本功能有三个,一是探测一组主机是否在线;其次是扫描 主机端口,嗅探所提供的网络服务;还可以推断主机所用的操作系统 。 2> P0f p0f是一个纯粹的被动指纹识别工具,它在不干涉双方通信的情...
网络安全工具大合集_remnux部署
2401_84263434的博客
04-29 956
它能够在预定义的环境中启动进程(限定内存,环境变量,重定向输出流,等等),开启网络客户端和服务器,以及创建损坏的文件.它的特征包含,嗅探活动链接,内容过滤,和许多其他有趣的技巧 . 它支持许多协议的主动和被动解析,并且包含许多网络和主机分析特性.– 一个故意的不安全网站应用,用于安全培训,完全使用Javascript开发,包含所有的OWASP Top 10漏洞以及其他的高危漏洞。– 一个强大的,灵活的,方便的工具用于多种类型的中间人攻击,篡改HTTP,HTTPS,和TCP实时流量,嗅探证书的等敏感信息。
YARA性能指南:有关如何编写快速且对内存友好的YARA规则的指南
03-04
YARA绩效准则 在为YARA创建规则时,请记住以下准则,以便从中获得最佳性能。 本指南基于Victor M. Alvarez和WXS的想法和建议。 1.5版(2021年2月)适用于所有高于3.7版的YARA版本 基础 为了更好地掌握可以优化YARA性能的性能和性能,了解扫描过程很有用。 它基本上分为四个步骤,将使用以下示例规则对其进行非常简单的说明: import "math" rule example_php_webshell_rule { meta: description = "Just an example php webshell rule" date = "2021/02/16" strings: $php_tag = "<?php" $input1 = "GET" $in
yara规则书写规范
01-04
当前最新yara规则书写规范,官方文档翻译过来的,不包括后面支持的模块翻译。大家有兴趣可以下载下来看。
yara规则学习与使用
abelxu
06-20 6360
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
yara规则初识
无痕的博客
11-02 2213
YARA 是一个免费开源工具,旨在帮助安全人员检测和分类恶意软件,但它不应仅限于这一种用途。YARA规则还可以帮助检测特定文件或您可能想要检测的任何内容。目前使用YARA 的知名软件有赛门铁克、火眼、卡巴斯基、VirusTotal、安天等。
yara 源码学习(三)  扫描部分
lacoucou的专栏
06-13 1050
yara源码学习 yara程序的扫描过程
编写yara规则 检测恶意软件
whatday的专栏
07-31 1852
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
基于YARA的Java内存马全方位检测策略
本文档《基于YARA的Java内存马检测方案设计.pdf》主要探讨了在日益复杂的网络安全环境中,Java内存马作为一种内存驻留的恶意软件,因其隐蔽性强、易于传播和利用Java高级特性实施复杂攻击,对网络安全构成了严重威胁...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值