问题标签 [yara]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c - 如何在 yara 规则文件中只使用一个规则?
在 yara 规则文件malware.yar中,内容如
文件中有很多规则,我yr_compiler_add_file用来添加文件,然后yr_compiler_get_rules用来获取规则。我从规则文件中获取所有规则,现在我只想使用一个规则来扫描缓冲区。
如果我使用yr_rules_scan_mem,它将使用所有规则扫描缓冲区。但我只需要一个来做到这一点。我能怎么做?
xcode - 在 bash 脚本开始时调用终端输入
我从 Git 下载了 Yara。当我从终端运行 yara 时,它可以正常工作。我想知道是否可以创建一个 bash 脚本,让我调用 yara 然后执行我的命令。
任何帮助将不胜感激!
yara -w /path/path/path 在终端中工作
shell 脚本中的 yara -w 没有按我的意愿执行。
yara - YARA 规则 - 你能在一个字节范围内累积一个值然后比较它吗?
我正在尝试编写一个 YARA 规则,它将迭代一些字节范围,将它们与某些东西异或并添加到一些累加器中,以便将最终结果与预定义值进行比较
这可能吗?据我所知,您不能在条件部分声明变量。
我把它pe.sections[s].raw_data_offset作为我需要运行的流的开始和pe.sections[s].raw_data_offset+pe.sections[s].raw_data_size结束。
python - yara-python 无法导入 AWS Lambda
我正在尝试将 yara 库导入 AWS Lambda 函数,但始终出现以下错误:
我尝试添加一个包含请求库和 yara 库的层,导入请求有效,但导入 yara 无效。
我正在使用的 lambda 函数如下。它在这个阶段除了导入 yara 什么都不做。
我也尝试过创建一个虚拟环境,安装软件包,创建 lambda 函数并将其作为 lambda 函数上传到 AWS,这会产生相同的错误。
您不能在 AWS Lambda 中创建符号链接,/var/lang/lib/libyara.so因为 lambda 只允许写入/tmp.
有没有人有这个工作?
.net - 手动反汇编 .NET
我想使用 YARA 规则对恶意软件,特别是 MSIL Crypter 进行静态签名。我想对特定函数(例如 Assembly.Load)进行签名,但我找不到有关如何将 .NET 二进制文件反汇编为 CIL 的信息性文档,这将帮助我了解要签名的字节序列。很高兴能得到一些帮助。
regex - Yara 规则 - 正则表达式 - 匹配通配符
正则表达式对我来说一直是一个黑匣子。
我相信我需要使用一些正则表达式来编写以下一些 yara 规则。Yara 规则使用正则表达式来匹配恶意软件中特定二进制文件的执行。回答这个问题不需要了解这一点,只是他们使用正则表达式。
我已经制定了一些基本规则,例如检测以下程序:
遵循以下规则
但是,如果我试图检测以下二进制文件的执行,那是与以 C:\Program Files\ 或 C:\Program Files\Microsoft Office 开头并以 excel.exe 结尾的模式匹配的任何文件
像下面这样的东西?
还有什么需要检测的是 dnx.exe,也许这样的东西会起作用:
还需要检测以下内容:
root 用户可以是任何特定用户,理想情况下将替换为通配符。
regex - Yara 规则 - 正则表达式 - 语法错误:意外的 ')'
这个答案在这里 - https://stackoverflow.com/posts/58483988/revisions(绝对值得一读以了解 yara 的表面正则表达式规则) - 似乎适用于我正在寻找的大约 20 个给定二进制文件,例如下列的:
但是,以下行似乎会发生错误:
该错误是,第 28 行语法错误:意外')'
第 27、28 和 29 行是:
我的 yara 规则有什么错误。
匹配以下目录:
星号基本上代表程序文件 (x86) 和 mftrace.exe 之间的任何中间路径
python - 连接不同格式的 YARA 规则
我需要能够匹配转储文件中的 URL,并被某个字节模式包围。为此,我编写了以下 YARA 规则:
我需要一种将这 3 个部分连接在一起的方法,但我无法找到方法。你能帮我吗?
zip - 通过偏移量在 ZIP 文件中定位 EOCD
我正在尝试编写一组 yara 签名,这些签名将根据创建的工件标记 zip 文件。
我知道 EOCD 的幻数是 0x06054b50,它位于存档结构的末尾。它有一个可变长度的注释字段,最大长度为 0xFFFF,因此 EOCD 最多可达 0xFFFF+ ~20 字节。但是,在 zip 结构之后可能会有一些数据可能会导致任何偏移相关扫描失效。
有没有办法在不扫描整个文件的魔术字节的情况下找到记录?如果在 EOCD 之后可以有数据,您如何验证魔术字节不是巧合?
go - YARA 的 Go 绑定不返回任何匹配项
我最近一直在测试 YARA 的 Go 绑定以进行本地 yara 扫描 ( https://github.com/hillu/go-yara)。我正在使用 yara v4.0.0。我只有一个.go文件有 2 个例程:CompileAllRules和main. 每当我尝试扫描我知道的 YARA 规则受到打击的恶意文件时,我都没有得到任何匹配。
代码只是在当前文件夹中查找 YARA 规则,编译它们并/root使用这些规则扫描目录。下面是有问题的代码。