Select Page

YARA에 대한 자세한 내용은 공식 웹 사이트를 방문하십시오 : http://virustotal.github.io/yara/. 바이러스토탈의 수신 제출에 Yara를 사용하여 심층 연구를 위해 맬웨어 패밀리를 식별하려는 경우 VirusTotal 헌팅에 대해 자세히 알아볼 수 있습니다. 플랫폼에 대한 파일을 다운로드합니다. 선택할 수 있는 것이 확실하지 않은 경우 패키지 설치에 대해 자세히 알아보세요. 소스 타볼을 다운로드하고 컴파일 준비: 최신 안정적인 릴리스에 대한 소스 코드 .tar.gz를 다운로드합니다. : 규칙 이름 뒤의 는 공백으로 구분되는 규칙 태그 목록의 시작을 나타냅니다. 이러한 태그는 자주 사용되지 않지만 이러한 태그가 존재한다는 점에 유의해야 합니다. C 스타일 주석은 어디서나 사용할 수 있습니다. . 당신은 또한 VCPkg 종속성 관리자를 사용하여 YARA를 다운로드하고 설치할 수 있습니다 : 당신은 응용 프로그램이 설치를 필요로하지 않기 때문에 많은 노력없이 야라 GUI가 제공하는 모든 것을 활용 시작할 수 있습니다. . 위의 규칙은 세 문자열 중 하나를 포함하는 모든 파일을 silent_banker 보고해야 함을 YARA에 알리는 것입니다.

이것은 단지 간단한 예일 뿐이며, 와일드카드, 대/소문자를 구분하지 않는 문자열, 정규식, 특수 연산자 및 YARA 설명서에서 설명하는 다른 많은 기능을 사용하여 더 복잡하고 강력한 규칙을 만들 수 있습니다. 규칙과 일치하지 않는 샘플을 찾으려면 다음과 같은 명령을 실행하십시오: 그러나 많은 합법적인 PDF(브로셔, 송장 등)에는 링크가 포함되어 있으므로 불량에 대한 더 나은 지표는 단일 링크가 포함된 PDF일 수 있습니다. 안타깝게도 Microsoft Office와 같은 대부분의 PDF 생성기는 PDF를 동일한 파일에 여러 “버전”으로 저장하므로 규칙에 약간의 유연성을 부여하고 PDF에서 최대 2URI를 허용해야 합니다. 즉, 파일 my_first_rule 더미라는 규칙과 일치합니다. 전체 파일 엔트로피에 대한 진행률 표시줄, 2D 엔트로피 히스토그램 및 데이터 히스토그램을 포함하는 스캐닝 프로세스의 결과는 메인 창의 아래쪽에 명확하게 표시됩니다. 이렇게 하면 각 규칙에 대한 결과가 각 파일이 일치하지 않습니다. grep을 사용하여 이 범위를 좁힐 수 있습니다. 예를 들어 pdf_ 포함된 이름의 규칙결과만 보고 싶다면 IDA Pro는 소프트웨어 리버스 엔지니어링을 위한 업계 표준 플랫폼입니다.

그것은 또한 매우 비싸다. 현재, IDA의 스타터 에디션 (만 처리할 수 있습니다 32 비트 파일) 하나의 명명 된 사용자에 대 한, X86 헥스-광선 디컴파일러 에 대 한 비용 $2,700. x86 AMD64 파일을 디컴파일할 수 있도록 하려면 IDA Pro, x86 및 x64 컴파일러의 경우 이름이 지정된 사용자 중 약 4,400USD입니다. 다행히도 몇 가지 오픈 소스 대안이 있습니다. . 아무 일도 일어나지 않으면 GitHub 데스크톱을 다운로드하고 다시 시도하십시오. yara yarafile.yara -r /root/폴더이름을 사용해야 합니까? 여기에 나열된 사이트를 보고 싶으신가요? 이를 사용하려는 경우 해당 –enable- 인수를 구성 스크립트에 전달해야 합니다. YARA는 맬웨어 연구원이 맬웨어 샘플을 식별하고 분류할 수 있도록 돕는 도구입니다(이에 국한되지 않음). YARA를 사용하면 텍스트 또는 이진 패턴을 기반으로 맬웨어 패밀리(또는 설명하려는 모든 것)에 대한 설명을 만들 수 있습니다.

일명 규칙인 각 설명은 문자열 집합과 논리를 결정하는 부울 식으로 구성됩니다. 예를 들어 32비트 와 64비트 맛모두에서 Windows용 컴파일된 바이너리를 아래 링크에서 찾을 수 있습니다. 원하는 버전을 다운로드하고 아카이브의 압축을 풀고 yara.exe 및 yarac.exe 바이너리를 디스크의 아무 곳에나 배치하면 됩니다. . 다른 yara 서명 파일이 들어있는 폴더가 있습니다. 당신은 주어진 샘플에 yara 도구를 사용하고 그것에 모든 서명을 적용 할 수있는 방법을 말해 줄 수 있습니까? 오픈 소스 Radare 프레임 워크는 GNU GPL 라이센스에 따라 IDA (그리고 몇 가지 더)의 동일한 기능을 무료로 제공합니다. 라다레는 현재 디콤프리를 가지고 있지 않습니다. YARA의 소스 코드를 수정하려는 경우 렉서 및 구문 분석기를 생성하기 위해 플렉스와 들소가 필요할 수도 있습니다: 파일의 문자열 목록을 보려면 Linux/MacOS/BSD 또는 기타 UNIX와 같은 시스템에서 문자열 명령을 실행하기만 하면 됩니다.