问题标签 [yara]

希望复制https://github.com/heroku/heroku-buildpack-yara，但要使用最新版本的 YARA ( https://github.com/VirusTotal/yara/releases )。如何编译它以在测功机内部使用，就像为 heroku-buildpack-yara 所做的那样？我尝试heroku run bash运行此处显示的各个命令https://yara.readthedocs.io/en/stable/gettingstarted.html#compiling-yara但它抱怨缺少构建工具并且apt get在环境中不起作用。

heroku 指令（到目前为止我已经能够找到）有点不透明。

谢谢！

如果可以使用 Yara 规则，我正在寻找一种可能性，可以在与 yara 规则匹配的行之前或之后显示之前的 x 行。我的目标是搜索特定模式的文件，但我也想查看匹配行（或字节）之前的行（或字节）。不幸的是，谷歌搜索没有为我提供我需要的结果。我会很感激任何建议。

编写 YARA 规则并停留在我似乎无法找到要使用的正确正则表达式的地方。

该规则的目的是扫描电子邮件的标头并匹配找到的任何以 10.13 开头的 IPv4 地址

相关文档：https ://yara.readthedocs.io/en/v3.4.0/modules/cuckoo.html https://github.com/VirusTotal/yara

我在这里做了一些阅读和搜索，但找不到任何其他想要做同样事情的人的实例。我能够把它放在一起，但由于我不知道的原因它不起作用

我认为这可能与不逃避句点有关，但是当我尝试这样做时，我得到了错误，但没有实际的错误信息。

我正在尝试反转一个包含反 VM 检查的 exe 文件，当我对该文件运行 Yara 规则时，我发现了一些带有以下地址的指令，

YARA 规则输出：

基本上，当我在 IDA 中打开这个 exe 文件时，我无法找到该指令的位置，如何0x2c420在 IDA 中查找或计算地址？

国际开发协会观点：

在使用YARA在 PHP 应用程序内进行恶意软件扫描时，

yara -r ./php.yar -s /myapp

里面使用的恶意软件查找工具是https://github.com/nbs-system/php-malware-finder/

引发此错误的 phpseclib 库文件是https://github.com/phpseclib/phpseclib/blob/master/phpseclib/Net/SSH2.php

任何帮助将不胜感激。

像这样开始osqueryi：sudo osqueryi --config_path /etc/osquery/osquery.conf --disable_events=false --enable_file_events=true

osquery.conf

规则.yar

example_rules.yar

使用上述规则和配置 osquery 不会检测到任何 yara_events。在少数系统中，相同的配置可以工作并检测 yara_events，但在少数系统中却没有。案例 1：系统检测到 file_events 而未检测到 yara_events。案例 2：系统未检测到 file_events 并且仅检测到 yara_events。案例 3：系统同时检测到 file_events 和 yara_events。这种不确定性背后的原因可能是什么。

osquery 检测到 file_events 但未检测到 yara_events

我将一些 yara 规则从repo克隆到我的/home/student/Downloads/yara-forensics/file目录。下面显示了多个 .yar 文件。我还有一个名为的虚假恶意软件文件sample.file位于/home/student/Downloads. 我想遍历每个 .yar 文件并只返回匹配的 .yar 文件sample.file。

下面是我的脚本。

问题是它只返回一个结果，如下所示。它至少应该返回 6 个结果 ( compressed, executables, crypto, office, vector, and vmware)。我的脚本有什么问题？

我正在使用 Yara 来检测多个文件中的多个字符串，例如：

文件 A：toto
文件 B：titi
两个文件都在一个目录 repo 中

雅拉规则（test.yar）：

我运行命令行：

但是这条规则永远不会匹配。
我能怎么做 ？

PS：我无法将两个文件合并为一个。

谢谢。