yara是一款用于帮助软件研究人员检测恶意软件和代码的开源工具,可以分析各种文件以及正在运行的进程。
Yara支持的系统平台
Yara工具自带了一个小型的搜索引擎,可以在window、linux、MacOS系统上运行,而且支持python扩展,允许通过python脚本访问搜索引擎。
Yara的使用构成:
Yara的使用由三部分构成:yara工具、规则文件、目标文件(进程)
yara工具
我在yara工具的安装时遇到各种各样的问题,花了很多时间,总结如下
1.推荐用python自带的pip来安装:
pip install yara
yara-ctypes -h
2.yara工具与linux的亲和度比较高
yara规则文件
yara的规则的标识符类似于C语言结构,其规则声明以rule标识,在规则描述中可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。和C语言一样,YARA规则也有关键字,具体的规则文件编写可以参考yara文档说明。
目标文件
yara的检测目标可以是文件也可以是进程,在命令行中输入
yara 规则文件 目标文件
就可以执行了,如果是python的话就要调用yara-ctype来执行,用–help可以查看参数要求。
Yara的规则库的收集:
yara的强大在于它可以不断的添加规则进入自己的规则库来强化自己,所以开发人员对规则库的收集和填充是十分重要的,但是由于yara在国内使用的贫瘠,yara库的收集并不容易。目前网络上的开源规则库,基本上来自国外的恶意软件分析提取、安全研究室的开源、安全社区的开放以及个人大牛的共享。
Yara的未来:
随着国内对网络安全越来越重视,可以预见Yara在国内势必引来一波流行期,到时网络上的规则文件共享会越来越多,大家注意在下载某些个人共享的规则文件时,要注意可能刻意隐藏在其中的恶意代码,会对你的电脑形成攻击漏洞。
这篇博客就到这里,谢谢大家!