yara的安裝與使用——yara可以說是正則匹配的工具吧,一般用於病毒的靜態檢測
阿新 • • 發佈:2022-03-30
我的安裝方法:
1.1 從github下載原始碼
https://github.com/VirusTotal/yara/releases
tar -zxf yara-4.0.0.tar.gz
cd yara-4.0.0
1.2 安裝依賴
sudo apt-get install automake libtool make gcc pkg-config
sudo apt-get install flex bison
1.3 安裝本體
./bootstrap.sh
./configure
make
sudo make install
yara的安裝與使用
yara可以說是正則匹配的工具吧,一般用於病毒的靜態檢測
下載
這裡直接下載windows的
https://github.com/VirusTotal/yara/releases
也可以從這下
https://www.dropbox.com/sh/umip8ndplytwzj1/AADdLRsrpJL1CM1vPVAxc5JZa?dl=0&lst=
Ubuntu 懶得編譯可以直接apt安裝
sudo apt install yara
|
用官方最簡單的示例測試是否可用
// 最簡單的規則
|
獲取yara規則
有開源的:https://github.com/Yara-Rules/rules
規則分11大類:
- Antidebug_AntiVM:反除錯/反沙箱類yara規則
- Crypto:加密類yara規則
- CVE_Rules:CVE漏洞利用類yara規則
- email:惡意郵件類yara規則
- Exploit-Kits:EK類yara規則
- Malicious_Documents:惡意文件類yara規則
- malware:惡意軟體類yara規則
- Mobile_Malware:移動惡意軟體類yara規則
- Packers:加殼類yara規則
- utils:通用類yara規則
- Webshells:Webshell類yara規則
獲取樣本測試
https://github.com/ytisf/theZoo/tree/master/malwares/Binaries
我們隨便下載一個,比如WannaCry的
https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.WannaCry
我們看看他用了什麼加密演算法,可以看到使用了CRC32,以及AES演算法
giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/Crypto_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
|
看看屬於哪類惡意樣本,判斷還是比較準確
giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/malware_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
|
看看加了什麼殼
giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/Packers_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
|
有沒有反除錯反虛擬機器
giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/Antidebug_AntiVM_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
|
簡單總結
通過yara,還有一些開源的規則,我們可以簡單快速地靜態分析惡意軟體
reference
https://yara.readthedocs.io/en/v3.7.0/gettingstarted.html
https://blog.csdn.net/m0_37552052/article/details/79012453