🎼个人主页:金灰
😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨
专注网络空间安全服务,期待与您的交流分享~
感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️
🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~
免责声明:本文仅做技术交流与学习...
目录
yara
yara 为 yara 使用程序
yarac 为编译 yara 规则工具
检测范围:
1、样本文件 2、内存数据 3、网络流量
特征提取:
1、多个样本同时对比筛选通用的数据
2、要根据样本的应用(分类,走的协议,文件头固定等)
项目地址(客户端下载)
GitHub - VirusTotal/yara: The pattern matching swiss knife
部分规则(规则下载)
别人已经写好的--
GitHub - Yara-Rules/rules: Repository of yara rules
都能检测...
等等...
规则结合客户端使用
下载客户端
将这两个exe复制到规则的目录下--->
以后自己写的规则和搜集的规则就可以放到这个目录下.
使用方法
yara64.exe 规则文件(yar文件) -r C:\Users\Administrator\Desktop\
-r 指定要扫描的目录
yara64.exe demo1.yar PID
yara64.exe 规则 进程号
这个检测可以匹配到一个条件就告警,也可多条.
如果规则较少或者一条就告警,则会检测到多条~
所以自己要好好找特征~~~
yara规则写法
Yara 规则内容支持字符串、正则表达式、十六进制进行匹配。
字符串:定义一个变量 $a = "字符串内容"
正则表达式:定义一个变量 $a = /正则表达式内容/
十六进制:定义一个变量 $a = {十六进制内容}
-Yara 规则条件
and:与 or:或 not:非
all of them:所有条件匹配即告警
any of them:有一个条件匹配即告警
$a and $b and $c:abc 同时匹配即告警
($a and $b) or $c:匹配 a 和 b 或 c 即告警
-Yara规则常用修饰符
nocase:不区分大小写
base64:base64字符串
xor:异或字符串
wide:宽字符
开源规则
dizong规则
xmrig挖矿样本
提取:文件头4D 5A,关键字xmrig,协议--比特币矿池的协议,域名--等 --挖矿是通过特定的协议wa,根据特性分析, --种类
rule xmrigdemo
{
meta:
tag="xmrigdemo"
description="test xmrigdemo"
author="xiaodisec"
strings:
$hex={4D 5A} --文件头
$a="stratum"
$b="xmrig"
$c="pool"
condition:
all of them
}内存马:php
借助其他的工具找指纹特征啊.
知攻善防yyds!
procdump提取
PHP内存马:
procdump.exe -accepteula -ma phpstudy_pro.exe php.dmp
yara64.exe demo1.yar PID
rule phpfindshell
{ meta:
tag="phpfindshell"
description =“test phpfindshell"
author="xiaodisec"
strings:
...
tasklist | finder xxx
exe yar 进程号
java内存等等...
都能检测:
内存
流量
工具的指纹
漏洞
样本文件
抓流量,010, 多个分析共性, 找关键点,特征...
分类,样本应用,协议,特点...