惡意代碼檢測(cè)工具(YARA)v3.4.0綠色版

軟件大?。?span>7.41 MB
更新日期：2016-02-25
軟件語(yǔ)言：簡(jiǎn)體中文
軟件類別：國(guó)產(chǎn)軟件
軟件授權(quán)：免費(fèi)版
評(píng)分等級(jí)：
插件情況：無插件請(qǐng)放心使用
適用平臺(tái)：WinXp,Vista,Win7,Win8

本地下載文件大?。?.41 MB高速下載高速下載器，提速50%

軟件介紹人氣軟件相關(guān)文章下載地址

惡意代碼檢測(cè)工具是一款十分好用的代碼檢測(cè)軟件，如果大家對(duì)于易攜帶，啊有所懷疑那么就可以使用這款軟件來進(jìn)行檢測(cè)，相信一定可以幫到經(jīng)常需要使用代碼檢測(cè)軟件的用戶。
軟件簡(jiǎn)介：
YARA是一款用于檢測(cè)、分析各種惡意代碼的軟件，它配備一個(gè)短小精悍的命令行搜索引擎，它由純C語(yǔ)言編寫，優(yōu)化了執(zhí)行的效率。規(guī)則語(yǔ)法的簡(jiǎn)單明了和布爾邏輯使YARA成為一個(gè)完美的IOC。它已經(jīng)集成到惡意軟件沙箱，蜜罐客戶端，取證工具以及網(wǎng)絡(luò)安全工具中。
檢測(cè)平臺(tái)：
YARA支持多平臺(tái)，可以運(yùn)行在Windows、Linux、Mac OS X，并通過命令行界面或yara-python擴(kuò)展的Python腳本使用。

功能介紹：
垃圾郵件分析
讓我們看一下垃圾郵件分析的應(yīng)用場(chǎng)景。如果你的團(tuán)隊(duì)需要在事件響應(yīng)過程中分析可疑的郵件消息，你極有可能會(huì)發(fā)現(xiàn)攜帶惡意宏的文件或重定向至漏洞利用工具的站點(diǎn)。olevba.py是一款流行的分析可疑微軟office文檔的工具，它屬于oletools工具包的一部分。當(dāng)分析嵌入的OLE對(duì)象來識(shí)別惡意活動(dòng)時(shí)，它會(huì)使用YARA功能(更多內(nèi)容可參看)。在應(yīng)對(duì)漏洞利用工具時(shí)，thug一款流行的低交互式蜜罐客戶端，模擬成web瀏覽器，也會(huì)使用YARA來識(shí)別漏洞利用工具家族。在上述兩種場(chǎng)景中，事件響應(yīng)團(tuán)隊(duì)之間交換YARA規(guī)則可以大大增強(qiáng)垃圾郵件的分類和分析的能力。
取證分析
另一種值得一提的應(yīng)用場(chǎng)景是取證。Volatility一款非常流行的內(nèi)存取證工具，可以支持YARA掃描來查明可疑的對(duì)象，比如進(jìn)程、文件、注冊(cè)表鍵值或互斥體(mutex)。相對(duì)于靜態(tài)文件的規(guī)則，因?yàn)樗枰獞?yīng)對(duì)加殼器和加密器，分析內(nèi)存對(duì)象的YARA規(guī)則通?？梢垣@得更廣的觀察范圍。在網(wǎng)絡(luò)取證領(lǐng)域，yaraPcap使用YARA掃描網(wǎng)絡(luò)數(shù)據(jù)包文件(PCAP)。類似于垃圾郵件分析的應(yīng)用場(chǎng)景，使用YARA規(guī)則進(jìn)行取證可以起到事半功倍的作用。
終端掃描
最終，還有值得留意的應(yīng)用場(chǎng)景是端點(diǎn)掃描。不錯(cuò)，在客戶端計(jì)算機(jī)上進(jìn)行YARA掃描。由于YARA掃描引擎是跨平臺(tái)的，我們完全可以在Windows系統(tǒng)上使用Linux系統(tǒng)上開發(fā)的特征規(guī)則。唯一需要解決的問題是如何分發(fā)掃描引擎，下發(fā)規(guī)則，以及將掃描結(jié)果發(fā)送到某個(gè)中心位置。Hipara，一款C語(yǔ)言開發(fā)的主機(jī)入侵防御系統(tǒng)，可以實(shí)現(xiàn)基于YARA規(guī)則文件的實(shí)時(shí)掃描，并將報(bào)告結(jié)果發(fā)回到某個(gè)中心服務(wù)器。另一種解決方案是自己編寫python腳本來調(diào)用YARA模塊，同時(shí)使用REST庫(kù)實(shí)現(xiàn)推拉(pull/push)的操作。
使用方法：
惡意代碼檢測(cè)分析工具(YARA)
1、環(huán)境準(zhǔn)備
在實(shí)戰(zhàn)之前，我們需要一個(gè)Linux系統(tǒng)環(huán)境和下列工具：
需要用到：pescanner.py
此外你需要一個(gè)段惡意代碼來分析，你可以從Malwr.com網(wǎng)站上獲取樣本：
警告：樣本是一個(gè)真實(shí)的惡意軟件，確保分析是在可控、隔離和安全環(huán)境中進(jìn)行，比如臨時(shí)性的虛擬機(jī)。
2、場(chǎng)景模擬
在周三下午4點(diǎn)，你的郵箱接受到一份事件報(bào)告的通知郵件。它似乎是一個(gè)可疑的HTTP文件下載(文件哈希值為f38b0f94694ae861175436fcb3981061)命中了網(wǎng)絡(luò)IPS的特征庫(kù)。你迅速檢查IPS報(bào)警的詳情，查看它是否把樣本存入待深入分析的臨時(shí)倉(cāng)庫(kù)中。你可以發(fā)現(xiàn)文件已被成功的保存下來，且文件類型是PE(可執(zhí)行文件)，絕對(duì)值得一看。下載文件之后，你需要進(jìn)行初始的靜態(tài)分析：利用Google和Virustotal查詢這個(gè)哈希值，分析PE文件頭來尋找惡意的企圖。
3、挑戰(zhàn)
創(chuàng)建匹配下述條件的YARA規(guī)則：
1. 與調(diào)試信息相關(guān)的可疑字符串
2. text區(qū)塊的MD5哈希值
3. 高熵值的.rsrc區(qū)塊
4. GetTickCount導(dǎo)入符號(hào)
5. Rich簽名的XOR密鑰
6. 必須是Windows可執(zhí)行文件