标签：YARA Yara 静态 恶意软件 样本 install yara root

研究静态检测恶意软件的方法很多，最常见也没有效果的就是文件哈希，即一对一的恶意软件进行检测。 为了更快的进行检测，现在的静态检测引擎会提取二进制文件的关键区域，并对区域内的特定OP代码字符串进行签名对比，最好的一个开源的例子就是YARA(yara是一款帮助恶意软件研究人员识别和分析恶意软件样本的开源工具，Yara规则基于字符串或二进制模式信息创建恶意软件家族扫描信息，YARA的每一条描述和规则都是通过一系列字符串和一个布尔表达式构成，并阐述其逻辑)   缺点 病毒开发者修改代码后就超出了YARA的检测范围          如果硬盘中没有运行二进制文件，那么就无法检测，这也就是无文件攻击成功绕过检测的原因   安装步骤： root@yara:~# apt-get install yara root@Yara:~# apt install yara root@Yara:~# apt-get install python-pip root@Yara:~# pip install yara   root@Yara:~# apt-get install git   获取Yara规则   root@Yara:~# git clone https://github.com/Yara-Rules/rules   我们在Hybrid上下载Petya样本   https://www.hybrid-analysis.com/submissions/   分析步骤   1）从客户机提取样本 2）分析可疑文件 3）提取特征 4）编写Yara规则   Yara脚本通常由两部分组成，Yara类似于C代码，通常包含脚本定义和布尔表达式(condition) 规则示例：   rule evil_executable {     strings:         $ascii_01 = "mozart.pdb"         $byte_01  = { 44 65 6d 6f 63 72 61 63 79 }     condition:         uint16(0) == 0x5A4D and         1 of ( $ascii_01, $byte_01 ) }     规则语法的简单明了和布尔逻辑使YARA成为一个完美的IOC（ Indicator of Compro,攻陷指标）。      rule dummy { condition: false }      

标签：YARA,Yara,静态,恶意软件,样本,install,yara,root
来源： https://www.cnblogs.com/networking/p/14639520.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。