yara规则

最新推荐文章于 2024-08-25 07:13:28 发布
最新推荐文章于 2024-08-25 07:13:28 发布
阅读量1.1k 收藏 1
点赞数 1
文章标签: 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47576228/article/details/126663539
版权
本文介绍了Yara规则的使用,包括字符串规则的应用,如16进制字符串用于定义原始字节序列,以及文本字符串定义可读文本部分。此外,还提及了条件表达式在Yara规则中的作用。
摘要由CSDN通过智能技术生成

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

yara规则

前言

本篇参照官网规则,将yara语法总结如本文部分

一、字符串规则

1.字符串之16进制字符串,用于定义原始字节序列

//通配符:可以用来代替某些未知的字节,并与人和内容匹配

rule WildcardExample
{
	strings:
	    //使用'?'作为通配符,一个?代表一位
	    $hex_string = { 00 11 ?? 33 4? 55}

	condition:
	    $hex_string
}

//跳转:可以匹配长度可以变化的字符串
rule JumpExample
{
	strings:
	    //使用'[]'作为跳转,与任何长度为0~n字节的内容匹配
	    $hex_string1 = { 00 11 [n] 44 55 }
	    $hex_string2 = { 00 11 [0-n] 44 55 }
	    //实例,string3和string4完全相同
	    $hex_string3 = { 00 11 [0-2] 44 55 }
        $hex_string4 = { 00 11 ?? ?? 44 55 }

    condition:
        $hex_string1 or $hex_string2
}

//也可以使用类似正则表达式的方法
rule AlternativeExample
{
	strings:
	      $hex_string = { 00 11 ( 22 | 33 44 ) 55 }
	      /*
	      该表达式可以匹配一下内容:
	      00 11 22 55
	   或 00 11 33 44 55
	      */

	condition:
	      ¥hex_string
}

//方法整合
rule AlternativeExample2
{
	string2:
	    $hex_string = { 00 11 ( 33 44 | 55 | 66 ?? 88 ) 99 }

	condition:
	    &hex_string
}

2 文本字符串:定义可读文本部分

/*
    转义符号:
    \"   //双引号
    \\   //反斜杠
    \t   //制表符
    \n   //换行符
    \xdd //十六进制的任何字节

    修饰符:
    nocase:   不区分大小写
    wide:    匹配2字节的宽字符
    ascii:   匹配1字节的ascii字符
    xor:     匹配异或后的字符串
    fullword:匹配完整单词
    private: 定义私有字符
最低0.47元/天 解锁文章
月伴清风
关注
rules:yara规则存储库
04-28
该项目满足了一组IT安全研究人员的需要,即拥有一个单一的存储库,在其中可以编译,分类和保持不同的Yara签名,并尽可能保持最新状态,并开始成为收集Yara规则的开源社区。 我们的Yara规则集受GNU-GPLv2许可,并且对...
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-04 1309
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Yara规则概述
热门推荐
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
Yara-Rules 项目使用教程
最新发布
gitblog_00954的博客
08-25 334
Yara-Rules 项目使用教程 yara-rulesA collection of YARA rules we wish to share with the world, most probably referenced from http://blog.inquest.net.项目地址:https://gitcode.com/gh_mirrors/ya/yara-rules 1. 项目的目...
yara规则--构建yara规则
无痕的博客
04-19 1874
多种方式构建yara规则
Yara、Snort和Sigma规则
摔不死的笨鸟的博客
03-11 5822
Yara规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。 Snort规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。 SIGMA是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件。 Yara规则 很多人对yara规则是比较熟悉的。 yara规则根据用途可以分为hunting yara规则和查杀yara规则两种。 hunting作用的yara规则编写相对来说比较简单。除了命中目的样本外,还允许命中更多无关的黑样
yara规则学习与使用
abelxu
06-20 6591
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
yara规则初识
无痕的博客
11-02 2347
YARA 是一个免费开源工具,旨在帮助安全人员检测和分类恶意软件,但它不应仅限于这一种用途。YARA规则还可以帮助检测特定文件或您可能想要检测的任何内容。目前使用YARA 的知名软件有赛门铁克、火眼、卡巴斯基、VirusTotal、安天等。
yara规则书写规范
01-04
### Yara规则书写规范详解 #### 一、YARA简介及多平台支持 YARA是一款强大的工具,用于识别和提取二进制文件中的模式。它支持多种操作系统,包括Windows、Linux以及MacOSX。YARA的最新版本可在其GitHub页面...
clamav-yara:将Clamav病毒数据库定义转换为YARA规则[GOLANG]
05-09
将ClamAV定义转换为Yara规则 === Clamav To Yara具有以下特点: 定期从clamav下载定义:目前在main.go中进行硬编码为4个小时 通过Etag检查定义是否已更改 保留:检查定义文件的哈希是否有效。 通过使用freshclam在...
CCCS-Yara:YARA规则元数据规范和验证实用程序YARA规则的规范和验证
05-08
加拿大网络安全中心CCCS YARA规范创建是为了定义和验证YARA规则元数据的样式和格式。 多年来,我们看到了许多YARA规则; 为了充分利用它们的潜力,即使对于我们自己制定的规则,我们也总是必须修改一些与它们相关的...
plyara:解析YARA规则并更轻松地对其进行操作
05-13
普利亚拉 将规则解析为字典表示形式。 Plyara是一个脚本和库,可将包含一个以上YARA规则的文件进行词法分析并将其解析为python字典表示形式。 该工具的目的是使执行批量操作或转换大型YARA规则集变得更加容易,例如提取指标,更新属性和分析语料库。 其他应用程序包括短绒和依赖检查器。 Plyara利用Python模块对YARA规则进行词法化。 这是由的的社区维护叉。 经许可使用“ plyara”商标。 安装 Plyara需要Python 3.6以上版本。 用pip安装: pip3 install plyara 用法 在您自己的应用程序中使用plyara Python库: >> > import plyara >> > parser = plyara . Plyara () >> > mylist = parser . parse_string ( 'rule MyRul
YARA性能指南:有关如何编写快速且对内存友好的YARA规则的指南
03-04
YARA绩效准则 在为YARA创建规则时,请记住以下准则,以便从中获得最佳性能。 本指南基于Victor M. Alvarez和WXS的想法和建议。 1.5版(2021年2月)适用于所有高于3.7版的YARA版本 基础 为了更好地掌握可以优化YARA性能的性能和性能,了解扫描过程很有用。 它基本上分为四个步骤,将使用以下示例规则对其进行非常简单的说明: import "math" rule example_php_webshell_rule { meta: description = "Just an example php webshell rule" date = "2021/02/16" strings: $php_tag = "<?php" $input1 = "GET" $in
Yara-Rules:McAfee ATR Team制定的YARA规则存储库
05-01
亚拉法则McAfee ATR博客文章和调查随附的YARA规则存储库我们赞同为改善规则做出贡献-请向我们发送拉动请求以及您的建议如果您发现我们的规则有误报,请在问题报告中与我们分享您的详细信息,我们将尝试改进Yara规则...
Yara规则编写
lisasue的博客
09-07 8541
yara规则编写 YARA规则的标识符类似于C语言结构,其规则声明以rule标识,在规则描述中可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。 Yara关键字 YARA规则由字符串区域和条件区域两部分组成,其中条件区域必须存在,字符串区域则可有可无,比如不依赖任何字符串的规则: rule Dummy { condition:
yara语法
Starr
01-14 2111
yara 文章目录yara1. Strings1.1 Hexadecimal stringswild-cardsjumpalternatives1.2 text stringsxorfull words1.3 regular expressions2. condition2.1 Counting strings2.2 String offsets or virtual addresses2.3 M...
编写yara规则 检测恶意软件
whatday的专栏
07-31 1897
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
YARA:第六章-更多关于规则
不断学习,不断进步。
07-11 538
Yara规则除了字符串、条件快外,还有其它的一些功能也十分重要。包括全局规则(global rules),私有规则(private rules),标签(tags)和元数据(metadata)。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值