yara

Яра в двух словах

Yara - это инструмент, направленный на (но не ограничиваясь), помогая исследователям вредоносных программ идентифицировать и классифицировать образцы вредоносных программ. С Yara вы можете создавать описания семейств вредоносных программ (или все, что вы хотите описать) на основе текстовых или двоичных шаблонов. Каждое описание, как правило, состоит из набора струн и логического выражения, которое определяет ее логику. Посмотрим пример:

 Правило SIVE_BANKER: Banker {meta: description = "Это всего лишь пример" chening_level = 3in_the_wild = truestrings: $ a = {6a 40 68 00 30 00 00 6a 14 8d 91} $ b = {8d 4d b0 2b c1 83 c0 27 99 6a 4e 59 f7 f9} $ c = "uvodfrysihlnwpejxqzakcbgmt" Условие: $ a или $ b или $ c}

Приведенное выше правило говорит Яре, что любой файл, содержащий одну из трех строк, должен сообщать как silent_banker . Это просто простой пример, более сложные и мощные правила могут быть созданы с помощью диких карт, нечувствительных к случаям строк, регулярных выражений, специальных операторов и многих других функций, которые вы найдете, объясненные в документации Yara.

Yara многоплатформенована, работает в Windows, Linux и Mac OS X, и может использоваться через его интерфейс командной строки или из ваших собственных сценариев Python с расширением Yara-Python.

Дополнительные ресурсы

Вы используете GitHub для хранения ваших правил Yara? Yara-Ci может быть полезным дополнением к вашему вбуду для инструментов. Это приложение GitHub, которое обеспечивает непрерывное тестирование для ваших правил, помогая вам определить общие ошибки и ложные срабатывания.

Если вы планируете использовать Yara для сканирования сжатых файлов (.zip, .tar и т. Д.), Вы должны взглянуть на yextend, очень полезное расширение Yara, разработанное и открытые сети Bayshore.

Кроме того, ребята из следствия приобрели потрясающий список вещей, связанных с Yara.

Кто использует Яру

• 0x101 кибербезопасность

• Adlice

• Альенво

• Аваст

• BAE Systems

• Bayshore Networks, Inc.

• Бинализ

• Binaryalert

• Blueliv

• Безопасность кадо

• Cisco Talos Intelligence Group

• Облачная безопасность

• Коэффициент

• Коникс

• Контракт

• Песочница кукушки

• Кибер -сортировка

• Киберозон

• Digita Security

• Платформа Dragos

• DEX Systems

• Эсет

• Estsecurity

• Эластичная безопасность

• Фиделис XPS

• Fireeye, Inc.

• Щипца

• Fox-It

• FSF

• Направляющее программное обеспечение

• Хероку

• Hornetsecurity

• Оборона ICS

• Познание

• Intelowl

• Джо безопасности

• Касперский лаборатория

• Знаю

• Купленый

• Лайка Босс

• Lastline, Inc.

• Libguestfs

• Лимачарли

• Малпедия

• Оформление

• McAfee Advanced Wehte Defense

• Метафлоу

• Система NBS

• Ндаал

• Netlock

• Nextron Systems

• Nozomi Networks

• Оскри

• Полезной нагрузки

• Фишме

• Безопасность PICUS

• RADARE2

• Безопасность Redsocks

• ReversingLabs

• Scanii

• Второй автор

• Sonicwall

• Spamstopshere

• Шпир

• Сток

• Возвышенная безопасность

• Сумологический

• Таниум

• Затяжная сетевая безопасность

• Тензир

• Группа Digitrust

• Угроза

• Ageststream, Inc.

• Бандит

• Угроза. Зона

• TouchWeb

• Trend Micro

• Непокме

• Upsight Security Inc.

• Uptycs Inc.

• Виам

• Verisys Antivirus API

• Вирустотальный интеллект

• Vmray

• Волексация

• Мы смотрим ваш сайт

• x64dbg

• Ялих

Вы используете это? Хотите увидеть здесь свой сайт?