![](/img/trans.png)
[英]YARA Rule - Regex - String with at least one digit
我是 YARA 規則的新手,我想構建一些非常簡單的東西,一個正則表達式來匹配我公司的主機名命名約定。 類似於: /AX[BCD][EFG](?=.*\d)[A-Z0-9]{5}/其中最后五個字符必須至少有一個數字。 有沒有辦法將其“翻譯”為 YARA? 請記住,僅支持基本構造: 交替 (|) 級聯重 ...
[英]YARA Rule - Regex - String with at least one digit
我是 YARA 規則的新手,我想構建一些非常簡單的東西,一個正則表達式來匹配我公司的主機名命名約定。 類似於: /AX[BCD][EFG](?=.*\d)[A-Z0-9]{5}/其中最后五個字符必須至少有一個數字。 有沒有辦法將其“翻譯”為 YARA? 請記住,僅支持基本構造: 交替 (|) 級聯重 ...
[英]Matching Simple IP addresses in YARA using Hexadecimal Strings
我正在嘗試編寫 YARA 規則來匹配簡單的 IP 地址(例如:127.0.0.1 或 192.168.1.1)。 我知道我可以使用基於這個開源 Github示例的正則表達式來做到這一點。 但是,YARA 性能指南建議我們盡可能避免使用正則表達式,而是使用十六進制跳轉/通配符匹配,如Github 自述 ...
[英]Integrate Wazuh with Yara failed
我用以下內容配置了 agent.conf: 如果我通過 cmd 手動運行 Yara,它就可以工作。 FIM 確實檢測到新下載的惡意文件,但 Wazuh 主動響應不起作用。 在 active-response.log 中沒有找到日志。 下面是存儲在 /var/ yara.sh /var/oss ...
[英]Could not import module Yara
我目前正在嘗試運行 Volatility3,但我遇到了由 yara 導入失敗引起的錯誤。 主要問題是即使在 CMD 上,我也無法通過輸入python然后import yara yara 導入 yara ,這樣做會出現如下錯誤: FileNotFoundError: Could not find m ...
[英]Create yara file to return match on hex string
我在 Mac os12.2.1 上嘗試運行 yara,它使用基本的十六進制字符串內容返回匹配項。 Yara規則(文件名:rulehexstr) rule hex_new { strings: $hexnew = { 48 65 6c 6c 6f } condition: $hexnew } 對於 ...
[英]YAIDS execution error without further error log information
我正在嘗試執行 YAIDS(使用 quickinstall 腳本安裝在 ubuntu 上)關於一般文檔用法,以便使用 yara 規則的官方規則主存儲庫中的 index.yar 標准規則集分析惡意 pcap 文件。 我還在 rules-master 目錄中執行了 ./index_gen.sh 命令。 ...
[英]Issues looping through .yar files for malware analysis
我將一些 yara 規則從repo克隆到我的/home/student/Downloads/yara-forensics/file目錄。 下面顯示了多個.yar 文件。 我還有一個名為sample.file的假惡意軟件文件,位於/home/student/Downloads 。 我想遍歷每個 .ya ...
[英]DangerousPhp inside phpseclib when checking with YARA
在使用YARA在 PHP 應用程序中進行惡意軟件掃描時, yara -r./php.yar -s /myapp 里面使用的惡意軟件查找工具是https://github.com/nbs-system/php-malware-finder/ 引發此錯誤的 phpseclib 庫文件是https:// ...
[英]YARA: Match string without a specific substring
我正在嘗試創建一個 YARA 規則,它匹配一個 URL 加上一個任意目錄,同時排除一個特定目錄。 例如,它需要匹配以下任何一項: 但具體不是這個: 更復雜的是,文件必須匹配,如果它包含一個任意目錄的 URL 以及滲出的 URL。 因此,包含以下內容的文件將匹配: 如下: 但不是以下本 ...
[英]How to write Yara script that creates a rule to match/detect strings contained within a file to another directory which contains a lot of such files?
該惡意軟件屬於PE類型。 使用此文件類型的魔術字節。 要創建包含大量字符串的規則,編寫一個為您創建規則的腳本可能會很有用。 通過智能找到的字符串可能單獨存在於其他文件中。 為確保您與惡意軟件匹配,可能需要使用所有這些惡意軟件。 我想在這里,我們必須使用條件“所有這些”。 但是我如何將文件中包含的字 ...
[英]Scanning directory with YARA python
現在被這個問題困擾了一段時間。 我正在使用我自己的 yara 規則掃描目錄,當我嘗試使用我的代碼獲取單個文件時它可以工作,但是當我在for loop上使用相同的代碼時,它不匹配任何東西。 我試過搜索我的問題,但它總是向我展示 yara 基礎知識的文檔。 測試yara規則: 我的代碼是否正確? 誰可以 ...
[英]result.append([1,matches['main'][0]['rule']]) and got messages TypeError: list indices must be integers, not str
我在下面使用此代碼,但它不起作用.. filepath此處提供的文件路徑內容。 完整的代碼在這里integrated_feature_extraction.py 當我運行程序時出現錯誤 我認為執行result.append([1,matches['main'][0]['rule']])時出現問題。 ...
[英]Yara regex for detecting port numbers not working
所以我一直在嘗試構建一個可以檢測端口號(0-65535)的正則表達式。 我已經嘗試了下面帖子中給出的那個: 正則表達式驗證端口號這個:^([0-9]{1,4}|[1-5][0-9]{4}|6[0-4][0-9]{3}|65[0-4][0-9]{2}|655[0-2][0-9]|6553[0-5]) ...
[英]Go bindings for YARA Doesn't return any matches
我最近一直在測試用於本地 yara 掃描的 YARA 的 Go 綁定( https://github.com/hillu/go-yara )。 我正在使用 yara v4.0.0。 我只有一個.go文件,它有 2 個例程: CompileAllRules和main 。 每當我嘗試掃描我知道的 YAR ...
[英]Locating EOCD in ZIP files by offset
我正在嘗試編寫一組 yara 簽名,這些簽名將根據其創建的工件標記 zip 文件。 我知道 EOCD 有一個幻數 0x06054b50,它位於存檔結構的末尾。 它有一個可變長度的注釋字段,最大長度為 0xFFFF,因此 EOCD 可以達到 0xFFFF+ ~20 個字節。 但是,在 zip 結構之 ...
[英]Concatenating YARA rules in different format
我需要能夠匹配轉儲文件中的 URL,並被某個字節模式包圍。 我為此編寫了以下 YARA 規則: 我需要一種將這 3 個部分連接在一起的方法,但我想不出辦法。 你能幫我嗎? ...
[英]Yara Rule - Regex - syntax error: unexpected ')'
這個答案在這里 - https://stackoverflow.com/posts/58483988/revisions (絕對值得一讀以了解 yara 的表面正則表達式規則) - 似乎適用於我正在尋找的大約 20 個給定二進制文件,例如下列的: 但是,以下行似乎會發生錯誤: 該錯誤是,第 28 ...
[英]Yara Rule - Regex - Matching Wildcard
正則表達式對我來說一直是一個黑匣子。 我相信我需要使用一些正則表達式來編寫以下一些 yara 規則。 Yara 規則使用正則表達式來匹配惡意軟件中特定二進制文件的執行。 回答這個問題不需要了解這一點,只是他們使用正則表達式。 我已經制定了一些基本規則,例如檢測以下程序: 遵循以下規則 但是,如果我 ...
[英]yara-python cannot be imported to AWS Lambda
我正在嘗試將yara庫導入AWS Lambda函數,但始終出現以下錯誤: 我嘗試添加一個包含請求庫和yara庫的層,導入請求有效,但導入yara無效。 我正在使用的lambda函數如下。 在此階段,除了導入yara之外,它什么都沒做。 我還嘗試過創建虛擬環境,安裝軟件包, ...
[英]Call terminal input at start of bash script
我從Git下載了Yara。 當我從終端運行yara時,它可以像我期望的那樣工作。 我想知道是否可以創建一個bash腳本,讓我調用yara然后執行我的命令。 任何幫助將不勝感激! yara -w / path / path / path在終端中工作 shell腳本中的yara ...