yara规则初识

原创 已于 2023-02-02 13:49:51 修改 · 2.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#YARA

于 2022-11-02 15:59:13 首次发布
本文介绍了YARA工具的基本概念、安装方法、使用参数及如何在Python中调用。YARA是一款强大的开源工具,能够帮助安全研究人员检测和分类恶意软件。文中还提供了YARA规则的示例,并详细讲解了规则的组成部分及其含义。

一、YARA介绍

YARA 是一个免费开源工具,旨在帮助安全人员检测和分类恶意软件,但它不应仅限于这一种用途。YARA规则还可以帮助检测特定文件或您可能想要检测的任何内容。目前使用YARA 的知名软件有赛门铁克、火眼、卡巴斯基、VirusTotal、安天等。
YARA的每一条描述、规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以与文件或在运行的进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件等。 
rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true
        author="zq" 
        version="0.1" 
        date="2022/08/12"
    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}  # 文本转16进制:16进制转换,16进制转换文本字符串,在线16进制转换 | 在线工具
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
    condition:
        $a or $b or $c
}
上述例子中,任意一个YARA文件,只要包含了三个字符串如a、b、c之一的文件都必须报告为silent_banker。
其中:
  • rule silent_banker : banker 是声明当前规则名称,这个名称可以解释为检测banker类型的样本;
  • meta 后面的是一些描述信息,比如可以有规则说明、作者信息、威胁等级、在野情况、文件MD5、来源等内容;
  • strings后面是检测规则,有字符串、字节序列等内容;
  • condition为判断条件。在本例检测规则处定义的字节序列和字符串,判断条件是or,所以只要匹配到$a $b $c三个字符串或字节序列中的任意一个,那么样本就会被识别成silent_banker 。
YARA可以跨平台在Windows,Linux和Mac OS X上运行,也可通过其命令行界面使用,或从带有yara-python扩展名的Python脚本中使用。
最低0.47元/天 解锁文章
[AI in security]-216 开源威胁情报线索【仅供学习研究使用】
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
08-08 2073
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3766
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
yara规则书写规范
01-04
当前最新yara规则书写规范,官方文档翻译过来的,不包括后面支持的模块翻译。大家有兴趣可以下载下来看。
Yara安装及python运用
keeper的博客
04-09 1万+
  Yara YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述与匹配信息。现在已经被多家公司所运用于自身的产品。   YARA-规则 YARA规则的字符串有三种类型:文本字符串、十六进制字符串、正则表达式。文本字符串用来定义文件或进程内存中可读型内容,十六进制字符串用来定义字节内容,正则表达式可用在文本字符串...
yara-python:适用于YARA的Python接口
05-13
yara-python 使用此库,您可以从Python程序中使用 。 它涵盖了YARA的所有功能,从编译,保存和加载规则到扫描文件,字符串和进程。 这里有一个小例子: >> > import yara >> > rule = yara . compile ( source = 'rule foo: bar {strings: $a = "lmn" condition: $a}' ) >> > matches = rule . match ( data = 'abcdefgjiklmnoprstuvwxyz' ) >> > print ( matches ) [ foo ] >> > print ( matches [ 0 ]. rule ) foo >> > print ( matches [ 0 ]. tags ) [ 'bar' ] >> > print ( matches [
yara规则
weixin_47576228的博客
09-02 1376
本篇参照官网规则,将yara语法总结如本文部分
编写yara规则 检测恶意软件
whatday的专栏
07-31 2085
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
Yara规则概述
热门推荐
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
rules:yara规则存储库
04-28
项目 该项目满足了一组IT安全研究人员的需要,即拥有一个单一的存储库,在其中可以编译,分类和保持不同的Yara签名,并尽可能保持最新状态,并开始成为收集Yara规则的开源社区。 我们的Yara规则集受GNU-GPLv2许可,并且对任何用户或组织开放,只要您在此许可下使用它即可。 Yara越来越多地被使用,但是有关该工具及其用法的知识却分散在许多不同的地方。 “ Yara规则”项目旨在通过尽可能完整地收集规则集,从而成为Yara用户的聚会点,从而为用户提供一种使Yara做好使用准备的快速方法。 我们希望该项目对安全社区和所有Yara用户有用,并期待您的反馈。 订阅我们的邮件列表,加入这个社区。 贡献 如果您有兴趣与我们和安全社区共享您的Yara规则,则可以加入我们的邮件列表,向我们的Twitter帐户发送消息或在此处发送拉取请求。 Twitter帐户: : 要求 要使我们的大多数规
Yara-Rules:McAfee ATR Team制定的YARA规则存储库
05-01
亚拉法则 McAfee ATR博客文章和调查随附的YARA规则存储库 我们赞同为改善规则做出贡献-请向我们发送拉动请求以及您的建议 如果您发现我们的规则有误报,请在问题报告中与我们分享您的详细信息,我们将尝试改进Yara规则。 狩猎愉快!
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-04 2877
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
yara 规则
thinker
08-09 370
非常棒的各类yara规则
yara规则--构建yara规则
无痕的博客
04-19 2497
多种方式构建yara规则
【免费下载】 Yara-rules:强大的恶意软件检测规则
最新发布
gitblog_00862的博客
12-28 774
Yara-rules:强大的恶意软件检测规则Yara-rules 是一个开源项目,该项目基于 YARA(Yet Another Recursive Acronym)——一种用于识别和分类恶意软件的工具。该项目主要使用 YARA 编程语言编写。 1. 项目基础介绍 Yara-rules 是一个包含大量预定义规则的库,这些规则用于检测各种已知和未知的恶意软件样本。YARA 规则是一种类似于正则表达...
yara规则学习与使用
abelxu
06-20 8499
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则的编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
YARA规则文件集:主要病毒家族匹配指南
YARA规则文件是其中非常核心的部分,它允许用户定义一组用于识别恶意软件的特征模式。这些规则文件可以用来扫描文件系统、内存缓冲区或其他数据流,并且检测出是否含有恶意内容。YARA规则文件通过定义一系列的字符...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值