Github
文档
YARA 简介
YARA是一个主要用于帮助恶意软件研究人员识别和分类恶意软件样本的工具(但并不局限于此)。使用YARA,您可以根据文本或二进制模式创建恶意软件家族(或您想要描述的任何内容)的描述。每个描述,也称为规则,由一组字符串和一个确定其逻辑的布尔表达式组成。让我们看一个例子:
rule silent_banker : banker
{
meta:
description = "这只是一个例子"
threat_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}
上述规则告诉YARA,任何包含这三个字符串之一的文件都必须报告为silent_banker。这只是一个简单的例子,您可以通过使用通配符、不区分大小写的字符串、正则表达式、特殊运算符和许多其他您可以在YARA文档中找到的功能创建更复杂和强大的规则。
YARA是跨平台的,可以在Windows、Linux和Mac OS X上运行,可以通过命令行界面或通过使用yara-python扩展从您自己的Python脚本中使用。
其他资源
您是否在GitHub上存储YARA规则?YARA-CI可能是您工具箱的一个有用补充。这是一个GitHub应用程序,为您的规则提供持续测试,帮助您识别常见错误和误报。
如果您计划使用YARA扫描压缩文件(.zip、.tar等),您应该查看一下yextend,这是Bayshore Networks开发并开源的一个非常有用的YARA扩展。
此外,来自InQuest的人们策划了一个很棒的YARA相关资源列表。
谁在使用YARA
- 0x101网络安全
- Adlice
- AlienVault
- Avast
- BAE Systems
- Bayshore Networks, Inc.
- Binalyze
- BinaryAlert
- Blueliv
- Cado Security
- 思科Talos情报集团
- Cloudina Security
- Cofense
- Conix
- CounterCraft
- Cuckoo沙盒
- 网络抢救
- Cybereason
- Digita Security
- Dragos平台
- Dtex Systems
- ESET
- ESTsecurity
- Elastic Security
- Fidelis XPS
- FireEye, Inc.
- Forcepoint
- Fox-IT
- FSF
- Guidance Software
- Heroku
- Hornetsecurity
- ICS Defense
- InQuest
- IntelOwl
- Joe Security
- 卡巴斯基实验室
- KnowBe4
- Koodous
- Laika BOSS
- Lastline, Inc.
- libguestfs
- LimaCharlie
- Malpedia
- Malwation
- McAfee高级威胁防御
- Metaflows
- NBS System
- ndaal
- NetLock
- Nextron Systems
- Nozomi Networks
- osquery
- Payload Security
- PhishMe
- Picus Security
- Radare2
- RedSocks Security
- ReversingLabs
- Scanii
- SecondWrite
- SonicWall
- SpamStopsHere
- Spyre
- stoQ
- SumoLogic
- Tanium
- Tenable Network Security
- Tenzir
- The DigiTrust Group
- ThreatConnect
- ThreatStream, Inc.
- Thug
- Threat.Zone
- TouchWeb
- Trend Micro
- UnpacMe
- UpSight Security Inc.
- Uptycs Inc
- Veeam
- Verisys Antivirus API
- VirusTotal Intelligence
- VMRay
- Volexity
- We Watch Your Website
- x64dbg
- YALIH 你正在使用它吗?想要在这里看到您的网站列表吗?
