使用Yara规则静态扫描方法

最新推荐文章于 2024-05-23 09:06:53 发布
最新推荐文章于 2024-05-23 09:06:53 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: 逆向学习、病毒分析之路 文章标签: yara规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/82458996
版权

关于yara规则我就不做多的介绍了,这篇文章只是记录一下它的简单使用方法,我曾经较长时间不使用时忘记了它的使用方法了,遂记录一下。

yara官方下载链接:https://github.com/VirusTotal/yara/releases

yara官方文档说明:https://yara.readthedocs.io/en/v3.7.0/index.html

在我图中看到的yara32.exe和yarac32.exe都是官方下载的。

格式:yara32.exe yara规则 扫描的样本

9.18【更新】

最近在使用yara规则时,发现我的字符串是从样本中提取出来的,但是却匹配不上,导致我的规则一直无法上线,终于找到原因了,遂记录一下,原来在样本中的字符串统一使用的宽字符,然而yara默认的扫描格式ascii码格式,所以导致我提取的字符串一直无法匹配,希望各位在使用yara时也注意下这个问题,虽然是个小问题,但你没找到根源的情况下,还是很花费时间。

//以下示例是从Yara官方文档中抽取的
//从官方的示例中也能看出,可以把 wide ascii一起联合使用
//不管你需要匹配的恶意字符串使用的是宽字符还是ascii,都可以做到一劳永逸的匹配效果

rule WideCharTextExample2
{
    strings:
        $wide_and_ascii_string = "Borland" wide ascii

    condition:
       $wide_and_ascii_string
}

 

ATree、063
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Yara引擎编译和发布
摔不死的笨鸟的博客
08-05 1169
我们自己设计软件时有很多情况都需要集成yara引擎 项目-管理NuGet程序包,下载几个包并安装 确保是git上最新代码即可编译 package目录下的include和lib是自动添加到项目中的。 发布时要注意除了yara编译需要依赖的jansson、libcrypto、libssl这几个库,把libyara编译好放一块。 除了需要的jansson.h和jansson_config.h,openssl以外,包含yara.h和yara项目中用到的头文件。 ...
yara编译过程全记录
u012042615的专栏
02-24 958
centos5 yara安装过程记录
yara工具入门
最新发布
you_get_me_there的博客
05-23 148
yara入门 规则简介
编写yara规则 检测恶意软件
whatday的专栏
07-31 1792
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
蓝队-ELK日志分析系统&Yara规则写入
weixin_58782362的博客
01-13 350
1.解压的绝对路径最好不带中文及空格,win+R打开cmd,进入Elasticsearch的bin目录执行elasticsearch.bat文件。3.进入C:\kibana-7.7.0-windows-x86_64\config目录修改kibana.yml配置文件。$a and $b and $c:abc同时匹配即告警。2、要根据样本的应用(分类、走的协议,文件头固定等)规则内容支持字符串、正则表达式、十六进制进行匹配。三种模式:上传文件,特定分析,代理加入。or $c:匹配a和b或c即告警。
yara规则--构建yara规则
无痕的博客
04-19 1606
多种方式构建yara规则
yara规则文件,包括一些主流的病毒家族规则匹配文件
01-25
在这个压缩包文件中,包含了一些针对主流病毒家族的Yara规则匹配文件。 首先,我们要理解Yara规则的基本结构。一个Yara规则通常由以下几个部分组成: 1. **字符串(Strings)**:这是规则中最基础的部分,可以是...
kraken - Go语言编写的YARA跨平台扫描器.zip
07-18
总结来说,kraken是利用Go语言实现的一个强大工具,它简化了YARA规则使用,提供了跨平台的扫描能力,适用于各种安全分析场景,无论是静态文件分析还是动态内存监控,都能发挥其优势。对于安全专业人员来说,kraken...
yara-1.7.1.zip
06-05
2. **文档**:可能包含用户手册和开发者指南,详细解释了如何编写和使用Yara规则。 3. **测试用例**:用于验证代码正确性的测试脚本,这些案例有助于理解Yara的工作方式。 4. **Makefile**:编译和构建项目所需的...
Office文档静态检测
11-20
特征码检测是一种简单但可能误报率高的方法,如Yara规则。这种方法实现难度低且速度快,适用于OOXML文件中的.xml和.rels文件,但难以应对混淆或变异的恶意代码。 **基于机器学习的检测** 机器学习方法可以通过解析...
Python库 | yara_python-3.9.0-cp27-cp27m-win32.whl
02-21
在`yara-python`库中,你可以通过编写YARA规则来定义你想要查找的模式,这些规则可以是静态的(如特定文件头或PE结构),也可以是动态的(如内存中的特定行为)。例如,下面是一个简单的YARA规则示例,用于检测含有...
yara-python-1.6.win-amd64-py2.7.exe
09-24
yara-python-1.6.win-amd64-py2.7.exe 看名字就知道了
YARA性能指南:有关如何编写快速且对内存友好的YARA规则的指南
03-04
YARA绩效准则 在为YARA创建规则时,请记住以下准则,以便从中获得最佳性能。 本指南基于Victor M. Alvarez和WXS的想法和建议。 1.5版(2021年2月)适用于所有高于3.7版的YARA版本 基础 为了更好地掌握可以优化YARA性能的性能和性能,了解扫描过程很有用。 它基本上分为四个步骤,将使用以下示例规则对其进行非常简单的说明: import "math" rule example_php_webshell_rule { meta: description = "Just an example php webshell rule" date = "2021/02/16" strings: $php_tag = "<?php" $input1 = "GET" $in
yara规则学习与使用
abelxu
06-20 6062
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
yara规则
weixin_43272486的博客
01-14 1571
标题 yara概述 yara可以对目标文件,文件夹,进程进行扫描。 编写自定义模块 模块是用 C 编写的,并作为编译过程的一部分内置到 YARA 中。为了创建自己的模块,您必须熟悉 C 编程语言以及如何从源代码配置和构建YARA。您不需要了解 YARA 是如何发挥其魔力的;YARA 为模块公开了一个简单的 API,这是您需要知道的全部内容。 模块的源代码必须位于源代码树的libyara/modules目录中,建议使用模块名称作为源文件的文件名。(如果你的模块名称是foo ,它的源文件应该是 fo
使用yara分析
weixin_34050389的博客
09-03 1855
有时碰到大批量的样本,又发现其中很多相似点,这个时候就需要模式匹配了,yara在分析中当之无愧。 具体的yara规则是怎么回事,freebuff上有相关的文章,要不然看文档也是可以的。这里只记录我第一次使用的几个步骤。 (1)下载yara,大家直接去github上找,我选择了C++写的代码。 (2)解压后找到yara-3.8.1\window...
YARA字符串匹配
无与伦比BLOG
09-28 5253
最近得知 一个开源的工程 YARA ,上网查了一下,获得一下资料 1、YARA——恶意软件模式匹配利器    http://sec.chinabyte.com/419/12863919.shtml 2、http://yara.readthedocs.io/en/v3.5.0/capi.html#c.yr_rules_scan_file WINDOWS 使用VS2015
静态扫描Yara第一话--安装及使用Yara
热门推荐
安全杂货铺
01-09 1万+
Yara安装及使用 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
yara实现分析恶意样本_yara恶意软件检测简介
weixin_26636643的博客
08-25 1816
yara实现分析恶意样本Have you ever wondered how malware is detected? How do malware scanners work? How does Gmail know that the suspicious attachment you got was “dangerous”? 您是否想过如何检测恶意软件? 恶意软件扫描程序如何工作? Gmai...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值