使用python调用yara进行文件检测

已于 2024-01-25 15:35:21 修改
阅读量1.3k 收藏 11
点赞数 11
文章标签: python 开发语言
于 2024-01-25 15:31:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhizhi120/article/details/135845590
版权

以linux-centos7系统为例,无论是命令行使用yara还是第三方组件使用yara都必须先安装yara的执行环境。

1、yara说明

Yara 是一个识别和分类恶意文件的工具,其安装的环境依赖比较多,安装前先执行yum update,然后在用yum install直接装automake、 libtool、 make、gcc、pkg-config环境。Yara安装软件到官网Getting started — yara 4.4.0 documentation下载并根据官网说明进行安装,我本地的版本为4.4.0。

2、检查Yara是否安装成功

查看yara的版本来验证安装:yara -v 或者 yara --version

  

3、使用方法

Yara有两种使用方式:

  • 命令行方式:

yara /path/rules1.yar /path/rules2.yar /path/to/scan

/path/rules1.yar /path/rules2.yar:代表规则文件,多个以空格分割

/path/to/scan:代表待扫描的文件或者文件夹

返回结果格式:规则名 文件名(中间以空格隔开)

  • 第三方库(项目中使用此方法):

简单介绍使用过程(不同语言可能会有所不同):

  1. demo使用流程

最低0.47元/天 解锁文章
Yara安装及python运用
keeper的博客
04-09 1万+
  Yara YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述与匹配信息。现在已经被多家公司所运用于自身的产品。   YARA-规则 YARA规则的字符串有三种类型:文本字符串、十六进制字符串、正则表达式。文本字符串用来定义文件或进程内存中可读型内容,十六进制字符串用来定义字节内容,正则表达式可用在文本字符串...
clamav_to_yara3:将Clamav转换为yara,并在python3中进行了重写。 改编自恶意软件分析师的食谱
05-02
标题“clamav_to_yara3”和描述提到了一个项目,该项目的主要目的是将ClamAV的规则转换成YARA规则,并且这个转换过程是在Python 3环境中进行的。这是一个针对恶意软件分析的实用工具,因为ClamAV和YARA都是在网络...
yara-python:适用于YARAPython接口
05-13
yara-python 使用此库,您可以从Python程序中使用 。 它涵盖了YARA的所有功能,从编译,保存和加载规则到扫描文件,字符串和进程。 这里有一个小例子: >> > import yara >> > rule = yara . compile ( source = 'rule foo: bar {strings: $a = "lmn" condition: $a}' ) >> > matches = rule . match ( data = 'abcdefgjiklmnoprstuvwxyz' ) >> > print ( matches ) [ foo ] >> > print ( matches [ 0 ]. rule ) foo >> > print ( matches [ 0 ]. tags ) [ 'bar' ] >> > print ( matches [
Python-一个python脚本可用于使用Yara扫描IDB中的数据
08-10
一个python脚本,可用于使用Yara扫描IDB中的数据
yarabuilder:使用Python 3库构建YARA规则
04-05
yarabuilder 用于创建Yara规则的Python模块。 安装 yarabuilder需要Python 3+: pip install yarabuilder 用法 创建和打印规则 >> > import yarabuilder >> > import pprint >> > >> > yara_builder = yarabuilder . YaraBuilder () >> > >> > yara_builder . create_rule ( "my_rule" ) >> > yara_builder . add_meta ( "my_rule" , "description" , "Generated by yarabuilder" ) >> > yara_builder . add_import ( "my_rule" , "pe" ) >> > yara_buil
Python-基于二进制代码生成YARA规则
08-10
基于二进制代码生成YARA规则
python入侵检测系统
02-20
3. 数据流分析:使用算法如Cuckoo Sandbox、Yara规则等来分析可疑文件的行为。 4. 聚类算法:例如K-means,用于发现网络流量中的不寻常模式。 5. 协同过滤:在分布式环境中,不同IDS之间可以通过协同过滤共享信息...
【工具】用命令行与Python使用YARA规则
最新发布
2401_88756905的博客
11-14 1188
YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述与匹配信息。现在已经被多家公司所运用于自身的产品。
探索Yara-Python:强大的恶意软件检测工具
gitblog_00013的博客
04-15 850
探索Yara-Python:强大的恶意软件检测工具 项目地址:https://gitcode.com/gh_mirrors/ya/yara-python 项目简介 是一个由VirusTotal维护的项目,它将Yara规则引擎与Python语言相结合,为安全研究人员和开发者提供了一种高效、灵活的恶意代码检测解决方案。通过这个库,你可以创建复杂的规则来识别文件中的特定模式,并在大量数据中进行扫描。 技...
python使用yara-python踩坑记录
weixin_43781139的博客
06-07 1380
看起来是少libyara.dll,查了半天网上也没有对应解法。pip install yara-python后遇到了奇奇怪怪的错误。把这里的libyara.dll复制到正确目录就可以了。在我的Users里创建了个Users?后来找了下文件,他竟然给我放在这个目录下了。
yara-python-1.6.win-amd64-py2.7.exe
09-24
yara-python-1.6.win-amd64-py2.7.exe 看名字就知道了
yarasorter:简单的Python脚本,用于整理Yara规则并检查重复项
04-28
亚拉sorter 简单的Python脚本,用于整理Yara规则并检查重复项。 一个与此项目配对的好项目是 ,您可以使用它下载Github中所有已知的Yara规则。 用法 ./sorter.py -f <yara> -o <OUTPUT> -r 如果只希望对规则排序而不检查重复项,则省略-r 。 使用参数-t在Yara中排序后测试规则。 如果只想检查重复/工作规则的规则,然后将它们输出到单个目录中,请使用-n参数。 现在,规则分为六类: 安卓 易于 反虚拟机 恶意软件 杂项 鼠 同样,如果规则文件中包含恶意类型字段,则将基于规则文件的首次出现创建一个文件夹。 重复检查选项将对以下文件夹中可能重复的规则进行排序: Dup_files 至少已经处理过一次的文件 Dup_rules 包含已排序规则的文件 Dup_rulenames 包含具有已使用规则名称的规则的文
探索规则的力量:Yara-python,让Python程序的威胁检测如虎添翼
gitblog_00714的博客
08-18 495
探索规则的力量:Yara-python,让Python程序的威胁检测如虎添翼 yara-pythonThe Python interface for YARA项目地址:https://gitcode.com/gh_mirrors/ya/yara-python 在数字安全的世界里,准确地识别和应对恶意代码是至关重要的。今天,我们要向您隆重介绍——Yara-python,一个将YARA的强大规则匹配...
CobaltStrike YARA规则 检测 环境搭建
qq_43615820的博客
12-19 460
CobaltStrike YARA规则 检测 环境搭建
yara安装与使用
weixin_43781139的博客
03-09 8923
yara安装与使用环境及安装工具使用yara规则编写strings部分转义大小写字符集表示匹配单个词组文本字符串condition部分infilesizeatentrypointint8/16/32、uint8/16/32of???[X-Y]them/($*)@!for xxx of xxx :(xxx)for xxx i in (xxx) :(xxx)其他yara关键字globalprivateTagRule引用规则importinclude注释mate外部变量 环境及安装 操作系统:win10 安装地址
yara安装以及使用
qq_35576225的博客
11-07 1011
1.yara官方github库 https://github.com/VirusTotal/yara/releases 2.恶意软件库 https://github.com/ytisf/theZoo 3.yara规则 https://github.com/Yara-Rules/rules 4.yara规则自定义 https://www.cnblogs.com/SunsetR/p/12650325.html
python2使用yara-python
weixin_47100211的博客
10-27 429
此处是因为阿里云的源没有这个组件,将kali自己的本地源放开后,重新更新源,就可以下载安装此组件了。今天获取到的一个脚本需要使用python2的环境,但是python安装yara库报错,所以手动下载yara-python进行编译安装,编译安装时报错。脚本需要的olefile库也是使用手动编译库文件解决。下载后再次编译库文件,成功编译完成。
python制作扫描器
qq_23347209的博客
07-06 1580
python作为一个轻量级编程语言,本系列主要是用来记录使用python作为安全工具的过程提示:以下是本篇文章正文内容,下面案例可供参考。
YARA Forge 项目使用教程
gitblog_00560的博客
09-13 789
YARA Forge 项目使用教程 yara-forge Automated YARA Rule Standardization and Quality Assurance Tool 项目地址: https://gitcode.c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

开心编码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值