yara的安装和使用——yara可以说是正则匹配的工具吧,一般用于病毒的静态检测
我的安装方法:
1.1 从github下载源码
https://github.com/VirusTotal/yara/releases
tar -zxf yara-4.0.0.tar.gz
cd yara-4.0.0
1.2 安装依赖
sudo apt-get install automake libtool make gcc pkg-config
sudo apt-get install flex bison
1.3 安装本体
./bootstrap.sh
./configure
make
sudo make install
yara的安装与使用
发表于 2019-05-24 |
yara可以说是正则匹配的工具吧,一般用于病毒的静态检测
下载
这里直接下载windows的
https://github.com/VirusTotal/yara/releases
也可以从这下
https://www.dropbox.com/sh/umip8ndplytwzj1/AADdLRsrpJL1CM1vPVAxc5JZa?dl=0&lst=
Ubuntu 懒得编译可以直接apt安装
|
用官方最简单的示例测试是否可用
|
获取yara规则
有开源的:https://github.com/Yara-Rules/rules
规则分11大类:
- Antidebug_AntiVM:反调试/反沙箱类yara规则
- Crypto:加密类yara规则
- CVE_Rules:CVE漏洞利用类yara规则
- email:恶意邮件类yara规则
- Exploit-Kits:EK类yara规则
- Malicious_Documents:恶意文档类yara规则
- malware:恶意软件类yara规则
- Mobile_Malware:移动恶意软件类yara规则
- Packers:加壳类yara规则
- utils:通用类yara规则
- Webshells:Webshell类yara规则
获取样本测试
https://github.com/ytisf/theZoo/tree/master/malwares/Binaries
我们随便下载一个,比如WannaCry的
https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.WannaCry
我们看看他用了什么加密算法,可以看到使用了CRC32,以及AES算法
|
看看属于哪类恶意样本,判断还是比较准确
|
看看加了什么壳
|
有没有反调试反虚拟机
|
简单总结
通过yara,还有一些开源的规则,我们可以简单快速地静态分析恶意软件
reference
https://yara.readthedocs.io/en/v3.7.0/gettingstarted.htmlhttps://blog.csdn.net/m0_37552052/article/details/79012453
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhhkcceh
系列文章
更多
同类精品
更多
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
微信运动停用后别人还能看到步数吗
PHP中文网 07-22