识别和分类恶意软件样本工具 YARA

BSD
C/C++
跨平台
2016-11-30

YARA 是一个旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本的工具。目前使用 YARA 的知名软件有赛门铁克、火眼、卡巴斯基、McAfee、VirusTotal等。

使用 YARA,你可以基于文本或二进制模式创建恶意软件系列(或任何您想要描述的内容)的描述。 每个描述a.k.a规则由一组字符串和一个确定其逻辑的布尔表达式组成。 比如:

rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        thread_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

上述规则说明 YARA 会将任何包含三个字符串之一的文件报告为 silent_banker 。 这只是一个简单的例子,通过使用通配符,不区分大小写的字符串、正则表达式、特殊运算符和许多其他功能,更多可以在 YARA 的文档中了解更复杂和强大的规则。

YARA 可在 Windows、Linux 和 Mac OS X 平台上运行,可以通过其命令行界面或从自己的 Python 脚本中使用 yara-python 扩展名。

加载中

评论(0)

暂无评论

暂无资讯

暂无问答

install module in python env(python环境如何加载功能模块)

ImportError: No module named yara #pip install yara

2018/08/29 17:44
13
0
恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器

基本信息 作者: (美)Michael Hale Ligh Steven Adair Blake Hartstein Matthew Richard 译者: 胡乔林 钟读航 丛书名: 安全技术经典译丛 出版社:清华大学出版社 ISBN:9787302274407 上架...

2014/08/19 11:07
99
0
恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器

基本信息 作者: (美)Michael Hale Ligh Steven Adair Blake Hartstein Matthew Richard 译者: 胡乔林 钟读航 丛书名: 安全技术经典译丛 出版社:清华大学出版社 ISBN:9787302274407 上架...

2014/01/25 11:17
166
0
Ankara saç ekimi

saç ekimi yaptırmak sizin Ankara ilinde bu işi yapan klinikler içinde saç ekim merkezlerinde yapılmaktadır...

2018/05/23 21:10
14
0
渗透测试常用Python工具全集

如果你从事漏洞研究、逆向工程或者渗透测试,应该绝对试试 Python ! 网络 Scapy , Scapy3k : 发送、嗅探、解析和伪造网络数据包,可交互使用或作为一个库使用。 pypcap , Pcapy 和 pylibpca...

2016/07/27 13:59
306
0

没有更多内容

加载失败,请刷新页面

没有更多内容

返回顶部
顶部