linux恶意代码检查软件,Yara:恶意软件检测神器

最新推荐文章于 2023-09-21 16:02:56 发布
最新推荐文章于 2023-09-21 16:02:56 发布
阅读量860 收藏 2
点赞数 1
文章标签: linux恶意代码检查软件

yara是一款用于帮助软件研究人员检测恶意软件和代码的开源工具,可以分析各种文件以及正在运行的进程。

Yara支持的系统平台

Yara工具自带了一个小型的搜索引擎,可以在window、linux、MacOS系统上运行,而且支持python扩展,允许通过python脚本访问搜索引擎。

Yara的使用构成:

Yara的使用由三部分构成:yara工具、规则文件、目标文件(进程)

yara工具

我在yara工具的安装时遇到各种各样的问题,花了很多时间,总结如下

1.推荐用python自带的pip来安装:

pip install yara

yara-ctypes -h

2.yara工具与linux的亲和度比较高

yara规则文件

yara的规则的标识符类似于C语言结构,其规则声明以rule标识,在规则描述中可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。和C语言一样,YARA规则也有关键字,具体的规则文件编写可以参考yara文档说明。

目标文件

yara的检测目标可以是文件也可以是进程,在命令行中输入

yara 规则文件 目标文件

就可以执行了,如果是python的话就要调用yara-ctype来执行,用–help可以查看参数要求。

Yara的规则库的收集:

yara的强大在于它可以不断的添加规则进入自己的规则库来强化自己,所以开发人员对规则库的收集和填充是十分重要的,但是由于yara在国内使用的贫瘠,yara库的收集并不容易。目前网络上的开源规则库,基本上来自国外的恶意软件分析提取、安全研究室的开源、安全社区的开放以及个人大牛的共享。

Yara的未来:

随着国内对网络安全越来越重视,可以预见Yara在国内势必引来一波流行期,到时网络上的规则文件共享会越来越多,大家注意在下载某些个人共享的规则文件时,要注意可能刻意隐藏在其中的恶意代码,会对你的电脑形成攻击漏洞。

这篇博客就到这里,谢谢大家!

独狼苏
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
yara实现分析恶意样本_Yara –识别和分类恶意软件样本
cunjiu9486的博客
10-09 1650
yara实现分析恶意样本Yara is a popular open source tool used to identify and classify Malware Samples. It is motto is Swiss knife for malware researchers and everyone else. I think it deserves this because of...
linux服务恶意程序检查,扫描Linux服务查找恶意软件和rootkit的5款工具
weixin_35775778的博客
04-30 7196
原标题:扫描Linux服务查找恶意软件和rootkit的5款工具技术沙龙邀您于8月25日与国美/AWS/转转三位专家共同探讨小程序电商实战【51CTO.com快译】针对Linux服务的攻击和端口扫描从未停过;虽然正确配置的防火墙和安全系统定期更新增添了额外的一层防线以确保系统安全,但是还应该经常观察是否有人潜入。这还有助于确保服务远离任何旨在破坏其正常运行的程序。 本文介绍的工具是为这些安全...
Linux上的yara编译和交叉编译
最新发布
yyyayo的博客
09-21 221
YaraLinux上的编译,以及如何交叉编译得到Windows上的可执行文件。
恶意代码检测与防范技术复习
永远相信美好的事情即将发生
06-22 2081
传统计算机病毒定义:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征:非授权可执行性、隐蔽性、潜伏性、破坏性、可触发性。恶意代码:在未被授权的情况下,以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件代码片段。一个软件被看作是恶意代码主要是依据,而不是恶意代码本身的特征。
yara 实验
人饭子的博客
10-30 358
yara 实验 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 什么是 yara YARA 是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用 YARA 可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。 这款工具配备一个短小精悍的命令行搜索引擎,它由纯C语言编写,优化了执行的效率。该...
Linux入侵检测方法
00勇士王子的博客
03-05 1190
1进程2端口3日志4流量5计划。
chef-yara:安装 YARA 恶意软件研究工具的 Chef Cookbook
06-12
描述用于安装和配置Chef 食谱,这是一款适用于恶意软件研究人员的模式匹配瑞士刀。用法在run_list包含yara::default配方。 要禁用安装 yara-python 设置以下属性: default[:yara][:install_yara_python] = false...
yar4m:Yara 规则对恶意软件的回购
06-13
"yar4m" 项目,正如其标题所示,是关于 Yara 规则的集合,特别针对恶意软件检测和分析。 Yara 规则由一系列条件和字符串组成,这些条件和字符串定义了一个恶意软件家族的特征。例如,规则可能包括病毒的特定...
Python基于威胁情报的恶意软件检测系统源码.zip
07-09
例如,我们可以利用Python的以下库来实现恶意软件检测: 1. **Pandas**: 用于数据处理和分析,可以用来清洗、格式化和操作威胁情报数据。 2. **Scapy**: 用于网络协议分析,可以帮助解析和构建网络包,检测异常流量...
mquery:YARA恶意软件查询加速(Web前端)
02-05
mquery:为恶意软件分析师提供快速的Yara查询 曾经有过寻找恶意软件样本的麻烦吗? Mquery是便于分析人员使用的Web GUI,可以浏览您的数字仓库。 它可用于在眨眼间搜索TB的恶意软件: 对2.1M文件的查询 在,我们...
yara-1.7.1.zip
06-05
原始链接 https://github.com/VirusTotal/yara/releases/tag/v1.7.1 这里存一份,以防源码失效
恶意代码分析技术ppt
12-02
。。恶意代码分析技术ppt
binaryalert:BinaryAlert:无服务,实时和追溯恶意软件检测
02-01
通过YARA,BinaryAlert可以实现高度定制化的恶意软件检测策略。 **恶意软件检测流程** 1. **文件上传**:用户或系统将二进制文件上传到S3存储桶。 2. **Lambda触发**:文件上传事件触发Lambda函数。 3. **文件分析...
恶意代码防范技术笔记(四)
cmomo99d的博客
08-19 365
将病毒体直接追加到宿主文件中,或者将宿主追加到病毒体之后,并不存在覆盖宿主文件的行为,从而宿主文件被感染成单纯的病毒体和原宿主文件的合体,在病毒文件执行后交换控制权给宿主文件。一个可重定位文件(relocatable file)保存着代码和适当的数据,用来和其他的目标文件一起来创建一个可执行文件或者是一个共享文件(.o)。③ “C 语言库”列出了所有包含在libsys中的符号、标准的ANSIC和libc的运行程序,还有libc运行程序所需的全局的数据符号。...
yara安装以及使用
qq_35576225的博客
11-07 938
1.yara官方github库 https://github.com/VirusTotal/yara/releases 2.恶意软件库 https://github.com/ytisf/theZoo 3.yara规则 https://github.com/Yara-Rules/rules 4.yara规则自定义 https://www.cnblogs.com/SunsetR/p/12650325.html
yara实现分析恶意样本_yara恶意软件检测简介
weixin_26636643的博客
08-25 1815
yara实现分析恶意样本Have you ever wondered how malware is detected? How do malware scanners work? How does Gmail know that the suspicious attachment you got was “dangerous”? 您是否想过如何检测恶意软件恶意软件扫描程序如何工作? Gmai...
应急响应-Yara规则木马检测
HBohan的博客
01-05 1013
Yara是一个基于规则的恶意样本分析工具,可以帮助安全研究人员和蓝队分析恶意软件,并且可以在应急取证过程中自定义检测规则来检测恶意软件Yara支持有木马文件落盘和无木马文件落盘(内存马)的检测,由一组字符串和一个确定的布尔表达式组成。
完整编译安装yara
keeper的博客
04-25 2670
最近使用yara发现会报各种cuckoo,libjansson,libmagic的错误,研究后发现需要编译安装各种依赖和包。 如果已经安装过yara,建议删除 /usr/local/lib/libyara* /usr/local/bin/yara 下载解压,然后 ./configure --with-crypto --enable-cuckoo --enable-magic --
yara规则学习与使用
abelxu
06-20 6027
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
基于 Python 的恶意代码检测系统
05-23
3. YARA:一种基于规则的恶意软件检测系统,它使用 Python 和其他编程语言编写,可以通过定义规则以及对二进制文件和内存中的数据进行匹配来检测恶意软件。 4. LIEF:一个可扩展的二进制格式解析库,它使用 Python ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值