yara安装与使用

最新推荐文章于 2024-07-25 16:39:13 发布
最新推荐文章于 2024-07-25 16:39:13 发布
阅读量8.3k 收藏 7
点赞数 3
文章标签: 正则表达式 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43781139/article/details/123375282
版权

yara安装与使用

环境及安装

操作系统:win10

安装地址:https://github.com/VirusTotal/yara/releases/tag/v4.2.0-rc1

直接在这个地址下就可以

工具使用

在cmd目录下打开
命令:

yara my_rule my_file

第一个参数是你的yara规则文件,第二个是检测文件,可以是目录
在这里插入图片描述

yara规则编写

yara的的每一条规则都由一系列字符串和一个bool型表达式构成,并且都具有关键字。

规则以字母、数字、下划线组成,字符串首字符不能是数字,单条描述不超过128字符

yara的基本规则定义如下:

rule ExampleRule

{
    strings:
    
		$my_text_string = "text here"
		
        $my_hex_string = {E2 34 A1 C8 23 FB}
    condition:
    
    	$my_text_string or $my_hex_string

}

其中字符串区域非必需,条件区域必需。

可以存在只有条件区域的规则,如:

rule Dummy
{
	condition:
		true
}

strings部分

Strings部分可以使用3种字符串:文本字符串、十六进制字符串、正则表达式。

文本字符串:用来定义文件或内存中可读的部分;

十六进制字符串:用来定义十六进制字节内容;

正则表达式:可用来在文本字符串和十六进制字符串种。

文本字符串采用""引用;
十六进制采用{}引用,每个十六进制字符间用空格间隔,并且只能包含十六进制字符;
正则表达式直接在文本字符串和十六进制字符串种使用即可使用即可,也可单独使用//引用。
转义

字符串的转义直接参科与其他语言的转义一致。

大小写

yara默认对大小写敏感,可以使用nocase关键字来使yara对大小写不敏感。

例如:

rule NocaseTextExample

{

    strings:

        $text_string ="foobar" nocase	//foobar可以替换为FOOBAR、Foobar等

    condition:

        $text_string

}
字符集表示

如果在目标文件中一个字符由两个字节表示,即宽字符形式,则可以使用wide关键词来表示文本字符串。如果既想表示宽字符,也想表示ASCII码,则可以再使用ascii关键词。

例如:

rule WideAsciiTextExample

{

    strings:

        $text_string ="foobar" nocase wide ascii

    condition:

        $text_string

}
匹配单个词组文本字符串

如果想匹配单个词组文本字符串,可以使用fullword关键词。

例如:

rule FullwordTextExample

{

    strings:

        $text_string = "foobar"fullword

    condition:

        $text_string

}

/*
abcfoobar
foobar-abc
foobar.abc
在上述3种情况中,只会匹配到第三种情况
*/

condition部分

condition部分通常由一个bool型表达式构成。若该表达式成立则会被检测到,反之则不能。

该表达式由bool操作符、关系操作符、算数操作符、按位操作符和yara关键字组成。

condition部分涉及到的关键字及其使用方法。

#用来表示出现的次数

rule CountExample
{
    strings:
        $a = "dummy1"
        $b = "dummy2"

    condition:
        #a == 6 and #b > 10
}
/*
将$替换成#即可
#a即代表$a出现的次数
*/
in

in:用来确定相对于文件或进程的偏移地址的范围。

rule InExample
{
    strings:
        $a = "dummy1"
        $b = "dummy2"

    condition:
        $a in (0..100) and $b in (100..filesize)
}
/*
$a出现在偏移地址0~0x100并且$b出现在0x100之后
*/
filesize

filesize代表文件大小,若目标不为文件将无视

rule FileSizeExample
{
    condition:
       filesize > 200KB
}
at

表示字符串在文件中的偏移位置或虚拟地址

 rule CountExample

{

    strings:

        $a = "text1"

        $b = "text2"

        $c = "text3"

    condition:

        $a at 100 and $b at 0x004C0000 and $cat 300

}
entrypoint

表示文件入口点,适用于PE文件和ELF文件,也适用于正在运行的程序

该变量已被弃用,在yara3.0后被彻底弃用

rule FileSizeExample

{

    string:

        $a = {E8 00 00 00}

    condition:

        $a at entrypoint

}
int8/16/32、uint8/16/32

在相应地址访问相应数据类型,如果要读取大端整数,请使用以结尾的相应函数be

int8(<offset or virtualaddress>)

int16(<offset or virtualaddress>)

int32(<offset or virtualaddress>)

uint8(<offset or virtualaddress>)

uint16(<offset or virtualaddress>)

uint32(<offset or virtual address>)

例如:

rule IsPE

{

    condition:

        // MZ signature at offset 0

        uint16(0) == 0x5A4D and

        // PE signature at offset stored in MZheader at 0x3C

        uint32(uint32(0x3C)) == 0×00004550

}
of

集合

rule Example
{    
    strings:        
        $a = "dummy1"        
        $b = "dummy2"
        $c = "dummy3"
    condtion:
        2 of ($a,$b,$c)  //当$a$b$c中有两个字符串存在于文件时,表示匹配
}
??

匹配一字节未知数,即通配符

匹配半字节未知数,即通配符

[X-Y]

字符长度在X到Y的范围中即可匹配

限制:X<=Y;

​ 若X=Y,则[X]与[X-Y]等价;

从YARA 2.0开始,还可以使用[X-]或[-X]这种无界跳转

rule JumpExample
{
        strings:
           $hex_string = { F4 23 [4-6] 62 B4 }

        condition:
           $hex_string
}
/*
F4 23 01 02 03 04 62 B4
F4 23 00 00 00 00 00 62 B4
F4 23 15 82 A3 04 45 22 62 B4
以上3个字符串均可匹配
*/
them/($*)

可以使用them/($*)来代指所有规则

rule OfExample4
{
    strings:
        $a = "dummy1"
        $b = "dummy2"
        $c = "dummy3"

    condition:
        1 of them // equivalent to 1 of ($*)
}
@

@用来表示字符串在文件或内存中出现的偏移或虚拟地址

@a[i]表示字符串a在文件或内存中第i次出现的偏移或虚拟地址

如果i大于实际出现次数,将返回NaN(not a number)

rule OfExample4
{
    strings:
        $a = "dummy1"
        $b = "dummy2"
        $c = "dummy3"

    condition:
        @a[1]=0x123456
}
!

!用来表示字符串在文件或内存中出现的字符串长度

用法与@基本一致

!a=!a[1]

rule OfExample4
{
    strings:
        $a = "dummy1"
        $b = "dummy2"
        $c = "dummy3"

    condition:
        !a[1]=0x123456
}
for xxx of xxx :(xxx)

使用for n of ($a,$b,$c) : ($ at entrypoint)来表示在字符集中存在n个字符串符合条件

$用来代指字符集中的每一个字符串,其他如@、!、#等均可同样省略

rule OfExample4
{
    strings:
        $a1 = "dummy1"
        $a2 = "dummy2"
        $a3 = "dummy3"

    condition:
        for 2 of ($a*) : ($ at entrypoint)
}
for xxx i in (xxx) :(xxx)

功能用法与上一个基本一致

rule OfExample4
{
    strings:
        $a1 = "dummy1"
        $a2 = "dummy2"
        $a3 = "dummy3"

    condition:
        for 2 i in (1..#a) : ( @a[i] < 100 )	//遍历所有$a出现位置,偏移均要小于100
}

其他yara关键字

yara关键字具体如下:

global

global rule:全局规则,优先级最高

private

private rule:私有规则,进行匹配时不会输出任何匹配信息

TagRule

rule TagRule:规则标签,可以让你在YARA输出的时候只显示你感兴趣的规则,而过滤掉其它规则的输出信息

​ 你可以为规则添加多个标签

rule TagRule : dummy1 dummy 2 
{    
    strings:        
        $a = "dummy1"        
        $b = "dummy2"      
    condition:        
        $a and $b 
}
引用规则

在另一个规则中,直接引用即可

import

可以使用import导入其他模块,可以是第三方或官方模块,或自己写的模块

include

该部分与C语言类似,可以用来包含其他规则文件

注释

yara使用//进行单行注释,使用/**/进行多行注释。

mate

mate是yara中可有可无的一部分,用来放置有关该规则的其他信息

外部变量

可以使用在ext_var中添加一个外部变量,在编写规则时直接引用即可

孤客浪子
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CentOS7下安装yara
weixin_47576228的博客
09-01 1237
本篇简述了作者本人安装使用yara遇到的一些问题和解决办法,最后成功的安装并运行了yara
yarabuilder:使用Python 3库构建YARA规则
04-05
安装yarabuilder需要Python 3+: pip install yarabuilder用法创建和打印规则>> > import yarabuilder>> > import pprint>> >>> > yara_builder = yarabuilder . YaraBuilder ()>> >>> > yara_builder . create_rule...
yara工具入门
you_get_me_there的博客
05-23 158
yara入门 规则简介
推荐:YARA-X - 未来式恶意软件研究工具
gitblog_00053的博客
06-05 320
推荐:YARA-X - 未来式恶意软件研究工具 项目地址:https://gitcode.com/VirusTotal/yara-x 1、项目介绍 YARA-X是VirusTotal团队推出的下一代模式匹配工具,旨在为恶意软件研究人员提供更快、更安全且更加用户友好的解决方案。这个重新设计的版本是对经典YARA的升级,目标是成为其未来的替代品。 YARA-X的核心在于规则引擎,允许用户通过文本或二进...
yara安装以及使用
qq_35576225的博客
11-07 943
1.yara官方github库 https://github.com/VirusTotal/yara/releases 2.恶意软件库 https://github.com/ytisf/theZoo 3.yara规则 https://github.com/Yara-Rules/rules 4.yara规则自定义 https://www.cnblogs.com/SunsetR/p/12650325.html
yara规则学习与使用
abelxu
06-20 6125
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
YARA安装与配置
骑上单车去旅行的博客
07-24 109
综上所述,‌YARA安装与配置过程需要确保前置软件的正确安装,‌然后根据操作系统选择合适的安装方法,‌并编写或使用预定义的规则文件来进行匹配操作。涉及几个关键步骤,‌包括前置软件的安装、‌YARA本身的安装,‌以及可能需要的配置调整。‌以下是一个概述:‌。
恶意软件 识别工具 yara 安装使用
whatday的专栏
07-31 2182
目录 概述 下载及安装 问题解决 测试 获取yara规则 获取恶意样本 开始扫描 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt-get install yara apt-get instal
python2使用yara-python
weixin_47100211的博客
10-27 295
此处是因为阿里云的源没有这个组件,将kali自己的本地源放开后,重新更新源,就可以下载安装此组件了。今天获取到的一个脚本需要使用python2的环境,但是python安装yara库报错,所以手动下载yara-python进行编译安装,编译安装时报错。脚本需要的olefile库也是使用手动编译库文件解决。下载后再次编译库文件,成功编译完成。
使用python调用yara进行文件检测
zhizhi120的博客
01-25 1095
使用python实现对yara的调用
yara一直安装不上的问题
zxbcollegestudent的专栏
04-23 270
python -m pip install yara
chef-yara:安装 YARA 恶意软件研究工具的 Chef Cookbook
06-12
要禁用安装 yara-python 设置以下属性: default[:yara][:install_yara_python] = false测试 bundle install # Run Unit and Lint Tests bundle exec rake # Run Test-Kitchen Integration Tests kitchen test贡献...
YARA-sort:亚拉排序
04-03
1. **安装YARA**:首先确保系统已经安装YARA库及其命令行工具。 2. **构建规则**:编写或获取适用于排序目的的YARA规则。 3. **运行YARA-Sort**:将规则和待排序的文件列表输入到工具中,它会返回排序后的结果。 ...
前往YARA进行装订-Golang开发
05-26
安装相应的头文件和pkg-config,只需执行以下操作:go get github.com/hillu/go-yara go install github.com/hillu/go-yara如果libyara具有如果将其安装到自定义位置,则可以使用PKG_CONFIG_PATH环境变量将pkg-...
yaramanager:简单的yara规则管理器
04-01
托多斯 搜索规则和说明 规则集中的集群规则 强制配置可配置的默认元字段集 实现备份和共享的可能性安装pip install yaramanager特征腹水(过时) 将您的Yara规则存储在本地数据库中并进行管理。用法$ ymUsage: ym ...
华杉研发九学习日记17 正则表达式 异常
小孤鸡的学习之路
07-24 681
自定义异常就是根据我们的项目的需求来自己设定异常类,如果出现异常,则直接报出我们自己定义的异常来处理。继承RuntimeException类继承Excption类。
正则表达式与文本处理
最新发布
A6985HG的博客
07-25 691
正则表达式(Regular Expression,简称 regex 或 regexp)是一种用于描述字符串模式的工具。它是一种强大的文本处理工具,用于查找、匹配、替换或验证字符串中的文本数据。正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本。sed(Stream EDitor)是一个强大而简单的文本解析转换工具,可以读取文本,并根据指定的条件对文本内容进行编辑(删除、替换、添加、移动等),最后输出所有行或者仅输出处理的某些行。
SQL-REGEX-常见正则表达式使用
喻师傅的学习笔记
07-25 821
在SQL中,正则表达式(Regex)的使用可以帮助进行更灵活和精确的模式匹配和数据筛选。不同的数据库管理系统对于正则表达式的支持略有差异,但大体都是相似的。
windows安装yara
09-14
在Windows上安装yara-python可以按照以下步骤进行操作: 1. 首先,确保您已经安装了Python。您可以从Python官方网站(https://www.python.org/)下载并安装最新版本的Python。 2. 您可以使用pip工具来安装yara-python模块。打开命令提示符或PowerShell,并输入以下命令来安装pip(如果尚未安装): ``` python get-pip.py ``` 或者 ``` python -m ensurepip --upgrade ``` 3. 确保pip已经安装成功后,您可以使用以下命令来安装yara-python模块: ``` pip install yara-python ``` 如果您遇到类似于"Using legacy setup.py install for yara-python, since package 'wheel' is not installed"的提示信息,可以尝试使用以下命令来解决: ``` pip install wheel pip install yara-python ``` 4. 安装完成后,您可以通过编写Python代码来测试yara-python模块是否成功安装。例如,您可以创建一个名为test_yara.py的文件,并在其中写入以下代码: ```python import yara # 定义一个简单的规则 rule = """ rule HelloWorld { strings: $hello = "Hello, World!" condition: $hello } """ # 编译规则 compiled_rule = yara.compile(source=rule) # 在文件中匹配规则 matches = compiled_rule.match("path_to_file") # 打印匹配结果 for match in matches: print(match) ``` 请将"path_to_file"替换为您要匹配的文件的路径。 5. 运行test_yara.py文件,如果没有出现错误并且成功打印出匹配结果,说明yara-python模块已经在Windows上成功安装并且可以正常使用了。 请注意,yara-python模块适用于Windows、Linux和macOS系统,并且支持x86 / x86-64架构的可执行文件和内存转储。它可用于构建YARA签名,对于公司、CERT等大型组织以及个人来说都是非常有用的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值