2. 程式人生 > 其它 >yara的安裝與使用——yara可以說是正則匹配的工具吧,一般用於病毒的靜態檢測

yara的安裝與使用——yara可以說是正則匹配的工具吧,一般用於病毒的靜態檢測

阿新 發佈:2022-03-30

我的安裝方法:

1.1 從github下載原始碼

https://github.com/VirusTotal/yara/releases

tar -zxf yara-4.0.0.tar.gz
cd yara-4.0.0
1.2 安裝依賴
sudo apt-get install automake libtool make gcc pkg-config
sudo apt-get install flex bison
1.3 安裝本體
./bootstrap.sh
./configure
make
sudo make install

 

yara的安裝與使用

發表於 2019-05-24 |

yara可以說是正則匹配的工具吧,一般用於病毒的靜態檢測

下載

這裡直接下載windows的

https://github.com/VirusTotal/yara/releases

也可以從這下

https://www.dropbox.com/sh/umip8ndplytwzj1/AADdLRsrpJL1CM1vPVAxc5JZa?dl=0&lst=

Ubuntu 懶得編譯可以直接apt安裝

sudo apt install yara

用官方最簡單的示例測試是否可用

// 最簡單的規則
echo "rule dummy { condition: true }" > my_first_rule
// 用規則測試規則
yara my_first_rule my_first_rule

獲取yara規則

有開源的:https://github.com/Yara-Rules/rules

規則分11大類:

  1. Antidebug_AntiVM:反除錯/反沙箱類yara規則
  2. Crypto:加密類yara規則
  3. CVE_Rules:CVE漏洞利用類yara規則
  4. email:惡意郵件類yara規則
  5. Exploit-Kits:EK類yara規則
  6. Malicious_Documents:惡意文件類yara規則
  7. malware:惡意軟體類yara規則
  8. Mobile_Malware:移動惡意軟體類yara規則
  9. Packers:加殼類yara規則
  10. utils:通用類yara規則
  11. Webshells:Webshell類yara規則

獲取樣本測試

https://github.com/ytisf/theZoo/tree/master/malwares/Binaries

我們隨便下載一個,比如WannaCry的

https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.WannaCry

我們看看他用了什麼加密演算法,可以看到使用了CRC32,以及AES演算法

giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/Crypto_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
../rules/./Crypto/crypto_signatures.yar(12): warning: $c0 is slowing down scanning (critical!)
../rules/./Crypto/crypto_signatures.yar(24): warning: $c0 is slowing down scanning (critical!)
../rules/./Crypto/crypto_signatures.yar(36): warning: $c0 is slowing down scanning (critical!)
../rules/./Crypto/crypto_signatures.yar(48): warning: $c0 is slowing down scanning (critical!)
../rules/./Crypto/crypto_signatures.yar(60): warning: $c0 is slowing down scanning (critical!)
../rules/./Crypto/crypto_signatures.yar(72): warning: $c0 is slowing down scanning (critical!)
../rules/./Crypto/crypto_signatures.yar(93): warning: $c0 is slowing down scanning
../rules/./Crypto/crypto_signatures.yar(776): warning: $c0 is slowing down scanning
CRC32_poly_Constant ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
CRC32_table ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
RijnDael_AES ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
RijnDael_AES_CHAR ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
RijnDael_AES_LONG ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe

看看屬於哪類惡意樣本,判斷還是比較準確

giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/malware_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
../rules/./malware/APT_DPRK_ROKRAT.yar(47): warning: $b2 is slowing down scanning
../rules/./malware/RAT_Ratdecoders.yar(153): warning: $conf is slowing down scanning (critical!)
    Str_Win32_Winsock2_Library ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
WannaDecryptor ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Wanna_Sample_84c82835a5d21bbcf75a61706d8ab549 ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
ransom_telefonica ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Wanna_Cry_Ransomware_Generic ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
WannaCry_Ransomware ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
WannaCry_Ransomware_Dropper ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
wannacry_static_ransom ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe

看看加了什麼殼

giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/Packers_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
../rules/./Packers/Javascript_exploit_and_obfuscation.yar(26): warning: $fff is slowing down scanning (critical!)
../rules/./Packers/peid.yar(672): warning: $a is slowing down scanning (critical!)
../rules/./Packers/peid.yar(900): warning: $a is slowing down scanning
。。。。。。。。
。。。。。。。。
。。。。。。。。
../rules/./Packers/peid.yar(68942): warning: $a is slowing down scanning
../rules/./Packers/peid.yar(68951): warning: $a is slowing down scanning
IsPE32 ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
IsWindowsGUI ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
IsPacked ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
HasRichSignature ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Microsoft_Visual_Cpp_v60 ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Microsoft_Visual_Cpp_v50v60_MFC_additional ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Microsoft_Visual_Cpp_50 ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Microsoft_Visual_Cpp_v50v60_MFC ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
Microsoft_Visual_Cpp ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe

有沒有反除錯反虛擬機器

giantbranch@ubuntu:~/yara/Ransomware.WannaCry$ yara ../rules/Antidebug_AntiVM_index.yar ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe
SEH_Init ./ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe

簡單總結

通過yara,還有一些開源的規則,我們可以簡單快速地靜態分析惡意軟體

reference

https://yara.readthedocs.io/en/v3.7.0/gettingstarted.html
https://blog.csdn.net/m0_37552052/article/details/79012453

相關推薦

yara安裝使用——yara可以說是匹配工具一般用於病毒靜態檢測

我的安裝方法: 1.1 從github下載原始碼 https://github.com/VirusTotal/yara/releases tar -zxf yara-4.0.0.tar.gz

python 表示式JSON-表示式匹配數字、非數字、字元、非字元、貪婪模式、非貪婪模式、匹配次數指定等

1、表示式:目的是為了爬蟲是爬蟲利器。 表示式是用來做字串匹配比如檢測是不是電話、是不是email、是不是ip地址之類的

Redis 為什麼不能在線上做Keys匹配操作

一個新聞 新聞內容如下php工程師執行redis keys * 導致資料庫宕機 某公司技術部發生2起本年度PO級特大事故造成公司資金損失400萬原因如下:

在Navicat裡連線MongoDB使用查詢語句匹配修改內容

業務場景 CMS內容管理系統主要是新增編輯新聞釋出新聞 使用MySQL儲存新聞的各個欄位使用MongoDB儲存文章正文(帶樣式的正文比較大)

js通過匹配沒有內容的空標籤

js 如何匹配沒有內容的空標籤並移除掉? 例如 <span></span> <p></p>

js匹配table,img及去除各種標籤問題

核心程式碼 //獲取公示欄內容 s = \"$row.detail$\"; mainContent =s; //如果有多個table使用下面註釋的只會匹配成一個table

python3用PyPDF2解析pdf檔案,用匹配資料方式

我就廢話不多說了大家還是看程式碼! import PyPDF2 import re pdf_file = open(\'xxx.pdf\',mode=\'rb\')

WPF TextBox匹配限制輸入

只能輸入數字和並保留兩位小數點 private void txt_PreviewTextInput(object sender, TextCompositionEventArgs e)

requests re匹配批量爬取 ip 經緯度 存入mysql中

# 安裝 pip install pymysql pip install requests import time import random import json import pymysql db = pymysql.connect(host=\'xxx\',user=\'xxx\',password=\'xxx\',database=\'xxx\')

PHP 匹配a標籤

PHP匹配固定class連結的a標籤 使用修飾詞大寫的U轉換為非貪婪模式 要不然會從文中的第一個a標籤的開頭 匹配到最後一個a標籤的結尾

工作便利貼---Python年月日時分秒匹配

Python年月日時分秒匹配 #!/usr/bin/env python # _*_ coding:utf-8 _*_ # DevVersion: Python3.6.8

Java匹配之 淘寶資訊爬取

爬取頁面分析: 1)每件商品以?開頭以?結尾 2) 商品中有用的資料為 一、工具類 DataCenter

PHP 匹配手機號

PHP 匹配手機號(國內) PHP提供了多種內建的匹配函式如php_filter()、php_grep()、php_match_all()等最重要的是我們要根據要判定的資料要求來精準判定以此來達到最後的目的。

MongoDB查詢之高階操作詳解(多條件查詢、匹配查詢等)

MongoDB查詢之高階操作 語法介紹 MongoDB查詢文件使用find()方法同時find()方法以非結構化的方式來顯示所有查詢到的文件。

MySQL全面瓦解之查詢的匹配詳解

概述 上一章 查詢的過濾條件我們瞭解了MySQL可以通過 like % 萬用字元來進行模糊匹配。同樣的它也支援其他正則表示式的匹配,我們在MySQL中使用 REGEXP 操作符來進行正則表示式匹配。用法和like相

python | MySQL全面查詢的匹配

概述 上一章 我們瞭解了MySQL可以通過 like % 萬用字元來進行模糊匹配。同樣的它也支援其他表示式的匹配我們在MySQL中使用 REGEXP 操作符來進行表示式匹配。用法和like相

PHP表示式核心技術完全詳解 第7節 陣列元素匹配

作者:極客小俊一個專注於web技術的80後 我不用拼過聰明人我只需要拼過那些懶人 我就一定會超越大部分人!

Java表示式工具方法彙總

1.獲取某字串中漢字的個數 ... private int getChineseCount(String text) { String Reg = \"^[\\u4e00-\\u9fa5]{1}$\";//

Nginx rewrite匹配重寫的方法示例

Nginx的rewrite功能支援正則匹配重寫即將URL地址臨時或永久重新指向某個新的位置類似於重定向。這個特性有利用當網站結構做出重大調整如之前的網站mp3資源使用URL為www.site1.org/mp3進行訪問而現在伺服器上

IOS定位方式和各個定位方式的速度排序匹配(轉發)

轉發僅供學習參考 按查詢元素的順序速度從快到慢的順序如下: ios_predicate >> accessibility_id >> class_name >>xpath