恶意软件 识别工具 yara 安装使用

最新推荐文章于 2024-06-05 10:05:59 发布
最新推荐文章于 2024-06-05 10:05:59 发布
阅读量2.1k 收藏 9
点赞数 1
原文链接:https://blog.csdn.net/whatday/article/details/107719856
版权

目录

概述

下载及安装

问题解决

测试

获取yara规则

获取恶意样本

开始扫描

概述

Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。

项目地址:https://github.com/VirusTotal/yara

下载及安装

Linux:

apt-get install yara apt-get install python-yara /pip install yara

Windows:

https://www.dropbox.com/sh/umip8ndplytwzj1/AADdLRsrpJL1CM1vPVAxc5JZa?dl=0&lst=

 pip install yara-python

问题解决

yara: error while loading shared libraries: /usr/lib/libyara.so: cannot open shared object file: No such file or directory

apt安装python-yara后,libyara.so放在了~/.local目录下,将libyara.so复制到/usr/lib目录下即可。 PS:输入命令grep libyara.so * -r寻找libyara.so的具体位置

测试

echo "rule dummy { condition: true }" > my_first_rule
yara my_first_rule my_first_rule 

PS:yara命令第一个参数为rule文件,第二参数为待检测文件

Yara测试

输出 dummy my_first_rule,则运行成功

获取yara规则

工欲善其事必先利其器,要让Yara能精确地识别恶意软件并将其分类,你必须拥有一个强大的yara规则库,但我们还不懂怎么写这些yara规则,那该怎么办呢?别急,yara给我们提供了一个现成的yara规则库,在我们还没有自己的规则库前就先用着它吧。

项目地址:https://github.com/Yara-Rules/rules

下载yara规则:

git clone https://github.com/Yara-Rules/rules

Yara规则

规则分11大类:

  1. Antidebug_AntiVM:反调试/反沙箱类yara规则
  2. Crypto:加密类yara规则
  3. CVE_Rules:CVE漏洞利用类yara规则
  4. email:恶意邮件类yara规则
  5. Exploit-Kits:EK类yara规则
  6. Malicious_Documents:恶意文档类yara规则
  7. malware:恶意软件类yara规则
  8. Mobile_Malware:移动恶意软件类yara规则
  9. Packers:加壳类yara规则
  10. utils:通用类yara规则
  11. Webshells:Webshell类yara规则

获取恶意样本

我们在Hybrid上下载Petya样本

下载样本

我下载的样本MD5为:af2379cc4d607a45ac44d62135fb7015

开始扫描

接下来我们就可以使用Yara对此样本进行静态扫描了,我使用加密类的规则对其进行扫描:

Yara扫描

运行过程中有警告出现,我们等会再讨论。 我们现在看到Yara扫描出了三个特征:

1. RIPEMD160_Constants: 使用了RIPEMD160加密算法
2. SHA1_Constants:使用了SHA1的加密算法 
3. BASE64_table:发现了base64表,Petya为了防止被识别,使用了bas64对自己先进行加密

Yara的结果输出大致就是这种格式(特征+样本路径) 我们现在回头看看出现的警告是什么意思:

Yara为标题解决

原来是因为$c0使用了{ 0-9,a-f,A-F }的大范围匹配,导致Yara运行时间大大增长,故而输出了警告。扫描单个样本的时候差别不大,但扫描大量样本的时候就会消耗大量时间,所以我们编写yara规则的时候要多加谨慎。

OK,Yara简单的用法就介绍到这里,如果要更深入地学习,就戳这里吧:

https://yara.readthedocs.io/en/v3.7.0/

 

 

whatday
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
volatility3安装报错
admin的博客
11-02 961
显示没法导入/usr/lib/libyara.so,这是python的一个库yara的lib文件。网上就这一篇教程,他给出的解决是安装yara,还给了俩方法,pip和apt-get,但是apt-get都提示无法定位软件包。pip和pip3都试了也没用。
内存取证-朴实无华的取证
ce666666的博客
01-13 1366
前言 看着杂项题越来越多,一道都不能秒,来学习一下。 Volatility 介绍 取证框架,对导出的内存镜像进行分析,获取内核的数据结构,使用插件获取内存的详细情况和运行状态,同时可以直接dump系统文件,屏幕截图,查看进程。 安装 在kali上下载Volatility git clone https://github.com.cnpmjs.org/volatilityfoundation/volatility.git 进入文件夹,输入 python setup.py install 安装插件有些麻
yara安装使用
weixin_43781139的博客
03-09 8275
yara安装使用环境及安装工具使用yara规则编写strings部分转义大小写字符集表示匹配单个词组文本字符串condition部分infilesizeatentrypointint8/16/32、uint8/16/32of???[X-Y]them/($*)@!for xxx of xxx :(xxx)for xxx i in (xxx) :(xxx)其他yara关键字globalprivateTagRule引用规则importinclude注释mate外部变量 环境及安装 操作系统:win10 安装地址
静态扫描之Yara第一话--安装使用Yara
安全杂货铺
01-09 1万+
Yara安装使用 概述 Yara是一款用于识别恶意软件及对其行为进行分类的安全利器。Yara会根据我们自己编写的yara规则,来对可疑软件进行一个模式匹配,若可疑软件中的一些特征与我们的yara规则匹配上了,则可以初步认定可疑软件为恶意软件。 项目地址:https://github.com/VirusTotal/yara 下载及安装 Linux: apt
探寻内存深处的威胁:YAMA - 你的恶意软件检测利器
最新发布
gitblog_00054的博客
06-05 344
探寻内存深处的威胁:YAMA - 你的恶意软件检测利器 项目地址:https://gitcode.com/JPCERTCC/YAMA 在数字安全的世界中,对抗无形的敌人——恶意软件,我们需要不断进化和适应的新策略。YAMA(Yet Another Memory Analyzer) 正是这样一款创新工具,它专为内存中的恶意软件检测而设计,特别是在面对文件无痕型恶意软件时,YAMA 能帮助你迅速响应...
volatility安装、内存取证常见知识点及例题讲解(已进行2.1次更新)
mumuzi的博客
05-26 1万+
最近的CTF比赛有关内存取证、机器学习、流量分析的题越来越多,自己又没怎么下来学过,基本都混在简单基础的图片隐写上面,所以开坑整理内存取证的知识点,并选取两道例题来实操。之后也准备对机器学习开坑。 常见的内存镜像文件有raw、vmem、dmp、img等,这里就需要用到内存取证工具volatility(例题讲解使用版本为2.6),当然如果看见有个叫DumpIt的进程,不用去理会,他就是生成内存文件的程序。 指令讲解imageinfopslistpstreecmdscanconsolescmdlinefiles
python使用yara-python踩坑记录
weixin_43781139的博客
06-07 876
看起来是少libyara.dll,查了半天网上也没有对应解法。pip install yara-python后遇到了奇奇怪怪的错误。把这里的libyara.dll复制到正确目录就可以了。在我的Users里创建了个Users?后来找了下文件,他竟然给我放在这个目录下了。
回归灰盒模糊测试工具 AFLCHURN 环境搭建(ubuntu 18.04 + llvm 11.1.0)
weixin_45651194的博客
12-18 737
aflchurn环境搭建,ubuntu18和llvm11.1.0,测试可以运行aflchurn。
cpp-YARA是一个旨在帮助恶意软件研究人员识别和分类恶意软件样本的工具
08-16
总的来说,YARA是一个强大的工具,它通过定义可定制的规则,使恶意软件研究人员能够更有效地识别和分类恶意软件。无论是在恶意软件研究、威胁情报分析还是安全自动化流程中,YARA都是不可或缺的一部分。掌握YARA的...
tknk_scanner:基于社区的集成恶意软件识别系统
03-11
tknk_scanner是一个基于社区的集成恶意软件识别系统,旨在通过使用基于开源社区的工具和免费软件的集成来自动执行此过程,从而轻松识别恶意软件家族。 通过将PE格式的恶意软件提交给扫描仪,可以使用您自己的YARA...
yar4m:Yara 规则对恶意软件的回购
06-13
在网络安全领域,Yara 是一个强大的工具,用于识别和分类恶意软件。它允许安全研究人员编写规则,这些规则可以匹配二进制文件、内存映像或任何其他数据流中的特定模式,从而帮助检测潜在的恶意活动。"yar4m" 项目,...
yara-ctypes:适用于libyara的Python ctypes包
05-18
yara-ctypes-python简介 yara-ctypes中有什么: 一个ctypes libyara包装器模块,该模块将libyara的输出公开到Python运行时中(请参阅: )。 具有与yara-project CPython扩展模块中公开的接口兼容的接口的线程安全Rules对象。 命名空间管理,可以轻松地将多个YARA规则加载到单个“规则”匹配对象中。 各种Scanner类类型,以允许线程或进程池通过Rules对象执行匹配请求。 功能丰富的命令行界面,为用户提供了许多选项来控制他们可能希望执行扫描的方式。 为什么: ctypes在系统函数调用中释放GIL ...将PC发挥其真正潜能。 通过将高级逻辑(例如管理规则路径,过滤路径,控制池执行等)保留在Python之类的语言中,极大地简化了事情。 不再构建PyC扩展... 我发现了一些错误和内存泄漏,并想简化
yara快速学习资料库 yara常用实例
03-06
- 使用Yara规则检测特定的命令行参数,如恶意软件可能使用的可疑行为。 - 通过`imphash()`函数创建规则,捕获具有相似导入表特征的恶意文件。 - 基于证书特征创建规则,识别恶意软件利用或已撤销的证书。 - 结合...
awesome-yara:精选的YARA出色规则,工具和人员的清单
01-31
【标题】"awesome-yara" 是一个集合了各种优秀YARA规则、工具和专家资源的综合清单,旨在为网络安全专业人士提供强大的支持,特别是在威胁狩猎、恶意软件分析和研究领域。 【描述】这个项目名为"awesome-yara",是...
Yara安装及python运用
keeper的博客
04-09 1万+
  Yara YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具使用YARA可以基于文本或二进制模式创建恶意软件家族描述与匹配信息。现在已经被多家公司所运用于自身的产品。   YARA-规则 YARA规则的字符串有三种类型:文本字符串、十六进制字符串、正则表达式。文本字符串用来定义文件或进程内存中可读型内容,十六进制字符串用来定义字节内容,正则表达式可用在文本字符串...
内存取证-volatility工具使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
volatility安装使用
陈止风的博客
11-14 3万+
来源自我的博客 http://www.yingzinanfei.com/2016/09/22/volatilityanzhuangjishiyong/volatility地址:https://github.com/volatilityfoundation/volatility 直接使用volatility无需安装,解压后即可使用。 volatility的依赖包: # yum install pc
Windows下给IDApro 安装yara-python报错原因及解决
qq_35576225的博客
11-07 2210
在IDA pro7.0上安装findcrypt这个插件。 源地址:https://blog.csdn.net/u011718707/article/details/107571811 而findcrypt这个插件需要依赖python的yara-python模块。因此先安装yara-python。 因为要用到pip安装,并且是给IDA自带的python安装模块。所以事先需要把当前python2的环境变量修改为IDA使用的python2. 修改完成后pip -V 就能查看当前使用的pip信息 然后使用p
MASTIFF安装中的部分坑
kdsj_0030的博客
03-07 439
MASTIFF Mastiff是Tyler Hudak在2013年开发的一个静态恶意软件分析项目,其主要作用是集成多种插件提取各种特征,例如对于PE文件,包括PE头,签名,资源,yara检测结果等等。 因为一个项目的原因,我需要安装MASTIFF,由于项目比较久远,README.INSTALL以及网上找得到的教程中很多在当前是不适用的,且作者项目主页与邮箱都无法访问(主页是科学上网都无法访问),...
windows安装yara引擎
09-14
要在Windows上安装Yara引擎,可以按照以下步骤进行操作: 1. 首先,确保你的计算机上已经安装了编译工具。在Windows上,你可以使用MinGW或Cygwin来安装所需的编译环境。 2. 下载Yara源代码包。你可以通过从Yara官方网站下载最新的源代码包来获取它。请确保下载与你计算机系统兼容的版本。 3. 解压源代码包。使用压缩软件将下载的源代码包解压到你选择的目录中。 4. 打开命令提示符或PowerShell,并导航到Yara源代码目录。使用cd命令进入解压后的源代码目录。 5. 运行bootstrap.sh脚本。在命令提示符或PowerShell中,输入"./bootstrap.sh"命令来运行这个脚本。这将为Yara引擎生成必要的配置文件。 6. 运行configure脚本。在命令提示符或PowerShell中,输入"./configure"命令来运行这个脚本。这个脚本将检查你的系统并配置Yara引擎的编译选项。 7. 编译Yara引擎。在命令提示符或PowerShell中,输入"make"命令来开始编译Yara引擎。这个过程可能需要一些时间,具体取决于你的系统性能。 8. 安装Yara引擎。在命令提示符或PowerShell中,输入"make install"命令来安装编译好的Yara引擎。这将把Yara引擎的可执行文件安装到系统路径中,以便你可以在任何位置使用它。 9. 验证安装。在命令提示符或PowerShell中,输入"yara -v"命令来验证Yara引擎是否成功安装。如果安装成功,你将看到Yara引擎的版本信息。 通过按照上述步骤,在Windows上安装Yara引擎,你将能够使用Yara识别和分类恶意软件样本。请注意,在安装之前确保你已经安装了所需的编译工具,并且按照正确的顺序依次运行每个步骤。引用内容 提供了一个更详细的安装过程的示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值