Awesome YARA

一份精选的 YARA 规则、工具和资源列表。灵感来源于 [awesome-python](https://github.com/vinta/awesome-python) 和 [awesome-php](https://github.com/ziadoz/awesome-php)。 [YARA](https://virustotal.github.io/yara/)，这款“恶意软件研究人员（以及其他所有人）的模式匹配瑞士军刀”由 [@plusvic](https://github.com/plusvic/) 和 [@VirusTotal](https://github.com/VirusTotal) 开发。在 [GitHub](https://github.com/virustotal/yara) 上查看。 ### 目录 - [100 Days of YARA (#100DaysofYARA)](#100-days-of-yara-100daysofyara) - [指南](#guides) - [规则](#rules) - [工具](#tools) - [服务](#services) - [语法高亮](#syntax-highlighters) - [人物](#people) - [视频和演讲](#videos-and-talks) - [相关 Awesome 列表](#related-awesome-lists) - [贡献](#contributing) - [贡献者](#contributors) ### 图例 * :eyes: - 积极维护，值得关注的仓库。 * :gem: - 新颖、有趣、具有教育意义或其他方面突出的内容。 * :sparkles: - 最近添加的，闪亮的新玩意。 * :trophy: - 最大集合奖，授予单一仓库。 ## YARA 100天 (#100DaysofYARA) 由 [Greg Lesnewich](https://twitter.com/greglesnewich) 于 2022 年发起的年度 YARA 挑战，灵感来自 #100DaysOfCode，在每年的前 100 天进行。目标是每天通过创建规则、贡献源代码或一般性地教导/帮助同事为 YARA 社区做出贡献。其他主要贡献者包括 [Wesley Shields](https://twitter.com/wxs) 和 [Steve Miller](https://twitter.com/stvemillertime)。有关挑战前两年的所有参与者列表，请参阅我们的 [Twitter List](https://twitter.com/i/lists/1648861278901764096)。 往年挑战的规则集合：[100 Days of YARA](https://github.com/100DaysofYARA) ## 指南 * [Yara Performance Guidelines](https://github.com/Neo23x0/YARA-Performance-Guidelines) * [YARA-Style-Guide](https://github.com/Neo23x0/YARA-Style-Guide) ## 规则 * [AlienVault Labs Rules](https://github.com/AlienVault-Labs/AlienVaultLabs/tree/master/malware_analysis) - 来自 [AlienVault Labs](https://cybersecurity.att.com/blogs/labs-research) 研究人员的工具、签名和规则集合。在仓库中搜索 .yar 和 .yara 扩展名，可以找到大约二十几条规则，范围从 APT 检测到通用沙箱/VM 检测。最后更新于 2016 年 1 月。 * [anyrun rules](https://github.com/anyrun/YARA) - 公开的 YARA 规则 * [Apple OSX](https://gist.github.com/pedramamini/c586a151a978f971b70412ca4485c491) - Apple 拥有约 40 条用于检测 OSX 恶意软件的 YARA 签名。该文件 XProtect.yara 位于本地 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/。 * [bartblaze YARA rules](https://github.com/bartblaze/Yara-rules) :eyes: - 个人 YARA 规则集合 * [BinaryAlert YARA Rules](https://github.com/airbnb/binaryalert/tree/master/rules/public) - AirBnB 作为其 BinaryAlert 工具的一部分编写和发布的几十条规则（见下一节）。检测 Linux、Window 和 OS X 上的黑客工具、恶意软件和勒索软件。这是一个新的活跃项目。 * [Burp YARA Rules](https://github.com/codewatchorg/Burp-Yara-Rules) - 旨在通过 Yara-Scanner 扩展与 Burp Proxy 配合使用的 YARA 规则集合。这些规则主要关注通常通过 HTTP 传递的非 exe 恶意软件，包括 HTML、Java、Flash、Office、PDF 等。最后更新于 2016 年 6 月。 * [BinSequencer](https://github.com/karttoon/binsequencer) - 在一组样本中找到通用的字节模式，并根据识别出的模式生成 YARA 规则。 * [CAPE Rules](https://github.com/kevoreilly/CAPEv2/tree/master/data/yara) :eyes: - 来自不同作者的规则，与 Config And Payload Extraction Cuckoo Sandbox 扩展捆绑在一起（见下一节）。 * [CDI Rules](https://github.com/CyberDefenses/CDI_yara) - [CyberDefenses](https://cyberdefenses.com/blog/) 发布的 YARA 规则集合，供公众使用。基于情报档案、档案文件和文件工作中的信息构建。 * [Citizen Lab Malware Signatures](https://github.com/citizenlab/malware-signatures) - Citizen Lab 开发的 YARA 签名。涵盖各种恶意软件家族的数十条签名。还包含 Vim 的语法文件。最后更新于 2016 年 11 月。 * [ConventionEngine Rules](https://github.com/stvemillertime/ConventionEngine) :sparkles: - YARA 规则集合，用于查找具有唯一、不寻常或明显恶意关键词、术语或其他特征的 PDB 路径的 PE 文件。 * [Deadbits Rules](https://github.com/deadbits/yara-rules) :eyes: - [Adam Swanda](https://www.deadbits.org/)（Splunk 的首席威胁情报分析师）从他最近的恶意软件研究中公开的 YARA 规则集合。 * [Delivr.to Detections](https://github.com/delivr-to/detections) - 此仓库是 delivr.to 团队开发的检测内容的存放处。 * [Didier Stevens Rules](https://github.com/DidierStevens/DidierStevensSuite) :gem: - Didier Stevens 的规则集合，他是用于检查 OLE/RTF/PDF 的套件工具的作者。Didier 的规则值得仔细研究，通常是为了狩猎而编写的。新规则经常通过 [NVISO Labs Blog](https://blog.nviso.eu/) 宣布。 * [Ditekshen Rules](https://github.com/ditekshen/detection) - 一组相互关联的网络和主机检测规则，旨在提高检测能力和狩猎可见性及上下文。 * [Elastic Security YARA Rules](https://github.com/elastic/protections-artifacts/tree/main/yara) - Elastic Security 在 Elastic Endpoint 产品中提供基于签名的 YARA 规则。这些规则用于检测和防止 Linux、Windows 和 macOS 系统中的新兴威胁。我们的仓库包含超过 1,000 条 YARA 规则，每天用于阻止各种威胁，包括：木马、勒索软件、挖矿程序、攻击渗透框架等。 * [ESET IOCs](https://github.com/eset/malware-ioc/) :eyes: - 来自 ESET 研究人员收集的 IOC 的 YARA 和 Snort 规则集合。在这个仓库中大约有十几条 YARA 规则，搜索文件扩展名 .yar。该仓库似乎大约每月更新一次。新的 IOC 经常在 [ESET WeLiveSecurity Blog](https://www.welivesecurity.com/) 上提及。 * [Fidelis Rules](https://github.com/fideliscyber/indicators/tree/master/yararules) - 你可以在 Fidelis Cyber 的 IOC 仓库中找到六条 YARA 规则。他们大约每季度更新一次此仓库。此仓库中还提供完整的博客内容。 * [Filescan.io Rules](https://github.com/filescanio/fsYara) ✨ - 用作 Filescan.io 服务一部分的精选 YARA 规则集合。 * [FireEye](https://github.com/fireeye/red_team_tool_countermeasures) - FireEye 红队对策检测 * [Florian Roth Rules](https://github.com/Neo23x0/signature-base/tree/master/yara) :eyes: :gem: - Florian Roth 的签名库是一个经常更新的 IOC 和 YARA 规则集合，涵盖广泛的威胁。有数十条规则得到积极维护。关注该仓库以查看规则随时间推移如何演变以解决误报/漏报问题。 * [Florian Roth's IDDQD Rule](https://gist.github.com/Neo23x0/f1bb645a4f715cb499150c5a14d82b44) - 概念验证规则，展示了检测红队人员和威胁组织工具及代码实际上是多么容易。 * [f0wl yara_rules](https://github.com/f0wl/yara_rules) - 来自 https://dissectingmalwa.re/ 博客文章的 Yara 规则集合。 * [Frank Boldewin's Rules](https://github.com/fboldewin/YARA-rules) - 来自 [@r3c0nst](https://twitter.com/@r3c0nst) 的 YARA 规则集合。 * [FSF Rules](https://github.com/EmersonElectricCo/fsf/tree/master/fsf-server/yara) - 主要用于文件类型检测的规则，来自 EmersonElectricCo FSF 项目（见下一节）。 * [GoDaddy ProcFilter Rules](https://github.com/godaddy/yara-rules) - GoDaddy 编写和发布的几十条规则，用于 ProcFilter（见下一节）。示例规则包括检测加壳器、mimikatz 和特定恶意软件。 * [Google Cloud Threat Intelligence(GCTI) Rules](https://github.com/chronicle/GCTI) - 用于检测 CobaltStrike 框架和 Sliver 植入物的规则。 * [h3x2b Rules](https://github.com/h3x2b/yara-rules) :gem: - h3x2b 的签名集合，其突出之处在于它们是通用的，可用于辅助逆向工程。有用于识别加密例程、高熵节（例如证书发现）、发现注入/挂钩功能等的 YARA 规则。 * [HydraDragonAntivirus](https://github.com/HydraDragonAntivirus/HydraDragonAntivirus) :trophy: - 世界上最大的开源 YARA 集合，无重复，无无效文件，且文件很少。还包含 ClamAV + YARA-X 或 YARA + 机器学习 + IDS 扫描器和签名以及 SUBLIME + CAPA + SIGMA 签名。最后它拥有如此庞大的恶意软件集合。 * [Icewater Rules](https://github.com/SupportIntelligence/Icewater) - 来自 Icewater.io 的自动生成的 YARA 规则仓库。此仓库快速更新，包含新生成的签名，这些签名主要匹配文件大小范围和部分内容哈希。 * [imp0rtp3's Rules](https://github.com/imp0rtp3/yara-rules) - 包含一些基于浏览器的规则的小仓库。 * [Intezer Rules](https://github.com/intezer/yara-rules) :sparkles: - Intezer Labs 发布的 YARA 规则。 * [InQuest Rules](https://github.com/InQuest/yara-rules) :eyes: - InQuest 研究人员发布的 YARA 规则，主要针对 Virus Total 上的威胁狩猎。随着新样本的收集和新枢轴的发现，规则会不断更新。[InQuest Blog](http://blog.inquest.net) 经常讨论新发现。 * [jeFF0Falltrades Rules](https://github.com/jeFF0Falltrades/YARA-Signatures) :sparkles: - 针对各种恶意软件家族的 YARA 签名集合。 * [kevthehermit Rules](https://github.com/kevthehermit/YaraRules) - 来自 Kevin Breen 个人收藏的数十条规则。此仓库自 2016 年 2 月以来未更新。 * [Loginsoft Rules](https://research.loginsoft.com/yara-rules/) - 用于检测针对 Microsoft Office 格式的恶意文档的 Yara 规则。 * [lw-yara](https://github.com/Hestat/lw-yara) - 用于扫描 Linux 服务器以查找 shells、spamming、phishing 和其他网络服务器恶意内容的规则集。 * [ndaal_YARA_passwords_default](https://gitlab.com/ndaal_open_source/ndaal_yara_passwords_default) - YARA 规则包含至少 1043 个组织的默认凭据，这些凭据使用不同的哈希排列（如 base64、md5、sha512 等）进行哈希处理。 * [ndaal_YARA_passwords_weak](https://gitlab.com/ndaal_open_source/ndaal_yara_passwords_weak) - YARA 规则包含顶级弱密码的哈希密码。密码根据以下排列（如 base64、md5、sha512 等）在相应的规则中进行哈希处理。 * [NCC Group Rules](https://github.com/nccgroup/Cyber-Defence/tree/master/Signatures/yara) :eyes: - NCC Group 的网络防御团队发布的少量 YARA 规则。 * [MalGamy's YARA_Rules](https://github.com/MalGamy/YARA_Rules) - 包含一些窃密器规则的小仓库。 * [Malice.IO YARA Plugin Rules](https://github.com/malice-plugins/yara/tree/master/rules) :eyes: - 来自各种来源的主题集合，用于 Malice.IO 框架的 YARA 组件。 * [Malpedia Auto Generated Rules](https://malpedia.caad.fkie.fraunhofer.de/api/get/yara/auto/zip) :sparkles: - 一个 zip 文件，包含使用 Malpedia 的 YARA-Signator 创建的所有自动生成的、基于代码的规则 * [Malpedia Auto Generated Rules Repo](https://github.com/malpedia/signator-rules) :sparkles: - 用于简化对 Malpedia 自动生成的、基于代码的 YARA 规则的访问和同步的仓库。 * [McAfee Advanced Threat Research IOCs](https://github.com/advanced-threat-research/IOCs) - 伴随 McAfee ATR 博客和其他公开帖子的 IOC，包括 YARA 规则。 * [McAfee Advanced Threat Research Yara-Rules](https://github.com/advanced-threat-research/Yara-Rules) - McAfee ATR 团队制作的 YARA 规则仓库。 * [mikesxrs YARA Rules Collection](https://github.com/mikesxrs/Open-Source-YARA-rules) :eyes: - 从各种来源（包括博客和其他更多短暂来源）聚合的大型开源规则集合。超过 100 个类别，1500 个文件，4000 条规则和 20Mb。如果你只想拉取一个仓库来玩，就是这个了。 * [Public YARA Rules](https://github.com/jipegit/yara-rules-public) - 公共 YARA 规则仓库。 * [QuickSand Lite Rules](https://github.com/tylabs/quicksand_lite) - 此仓库包含用于恶意软件分析的 C 框架和独立工具，以及为该项目开发的几条有用的 YARA 规则。 * [Rapid7-Labs](https://github.com/rapid7/Rapid7-Labs/) - 此仓库包含 Rapid7 Labs 共享的 Sigma & Yara 规则和入侵指标 集合。 * [Rastrea2r](https://github.com/rastrea2r/rastrea2r) - 分类可疑系统并在几分钟内搜索数千个端点上的入侵指标。 * [ReversingLabs YARA Rules](https://github.com/reversinglabs/reversinglabs-yara-rules) :les: :eyes: - ReversingLabs 发布的 yara 规则集合，涵盖漏洞利用、信息窃取程序、勒索软件、木马和病毒。 * [Securitymagic's YARA Rules](https://github.com/securitymagic/yara) - 针对各种威胁的 YARA 规则。 * [Sophos AI YaraML Rules](https://github.com/inv-ds-research/yaraml_rules) - 作为机器学习模型翻译自动创建的 Yara 规则仓库。每个目录都有一个规则和随附的元数据：训练中使用的文件哈希，以及准确度图（ROC 曲线）。 * [SpiderLabs Rules](https://github.com/SpiderLabs/malware-analysis/tree/master/Yara) - 来自 SpiderLabs 研究人员的与恶意软件分析相关的工具和脚本仓库。这里只有三条 YARA 规则，最后一次更新是在 2015 年，但值得探索。 * [StrangeRealIntel's Daily IOCs](https://github.com/StrangerealIntel/DailyIOC) :gem: :sparkles: :eyes: - 定期更新的 YARA 规则，涵盖各种新威胁。 * [t4d's PhishingKit-Yara-Rules](https://github.com/t4d/PhishingKit-Yara-Rules) - 此仓库专门用于 Phishing Kits zip 文件 YARA 规则，基于 zip 原始格式分析以查找目录和文件名，你不需要在那里使用 yara-extend。 * [Telekom Security Malare Analysis Repository](https://github.com/telekom-security/malware_analysis) - 此仓库包含我们在 telekom.com 博客上的博客文章的脚本、签名和其他 IOC。 * [Tenable Rules](https://github.com/tenable/yara-rules) - 来自 Tenable Network Security 的小型集合。 * [ThreatHunting-Keywords-yara-rules](https://github.com/mthcht/ThreatHunting-Keywords-yara-rules) - 用于威胁狩猎会话的 Yara 规则 * [TjadaNel Rules](https://github.com/tjnel/yara_repo) - 恶意软件规则的小型集合。 * [VectraThreatLab Rules](https://github.com/VectraThreatLab/reyara) - 用于识别反逆向工程恶意软件技术的 YARA 规则。 * [Volexity - Threat-Intel](https://github.com/volexity/threat-intel) :sparkles: :gem: - 此仓库包含与 Volexity 公开威胁情报博客文章相关的 IoC。 * [x64dbg Signatures](https://github.com/x64dbg/yarasigs) :gem: - 有趣的加壳器、编译器和加密识别签名集合。 * [YAIDS](https://github.com/wrayjustin/yaids) :gem: :sparkles: - YAIDS 是一个使用 Yara 的多线程入侵检测系统。YAIDS 支持所有有效的 Yara 规则（包括模块）和任何 PCAP 兼容的数据流（网络、USB、蓝牙等）。 * [YARA-FORENSICS](https://github.com/Xumeiquer/yara-forensics) - 文件类型识别规则集合。 * [YARA Forge](https://yarahq.github.io/) :gem: :sparkles: :eyes: - YARA Forge 专注于提供高质量的 YARA 规则包，以便立即集成到安全平台中。 * [yara4pentesters](https://github.com/DiabloHorn/yara4pentesters) - 用于识别包含敏感信息（如用户名、密码等）的文件的规则。 * [YaraRules Project Official Repo](https://github.com/Yara-Rules/rules) :eyes: - 由社区不断更新的大型规则集合。 * [Yara-Unprotect](https://github.com/fr0gger/Yara-Unprotect) - 为 Unprotect 项目创建的用于检测恶意软件规避技术的规则。 * [Unprotect Project](https://unprotect.it/detection-rules/) - 检测规则列表。 ## 工具 * [AirBnB BinaryAlert](https://github.com/airbnb/binaryalert) - 开源无服务器 AWS 管道，上传到 S3 存储桶的任何文件都会立即使用一组可配置的 YARA 规则进行扫描。 * [alterix](https://github.com/mtnmunuklu/alterix) - 将 Yara 规则转换为 CRYPTTECH 的 SIEM 的查询语言 * [androguard-yara](https://github.com/MindMac/androguard-yara) - Yara 的 Androguard 模块。 * [APKiD](https://github.com/rednaga/APKiD) - Android 应用程序标识符，用于识别加壳器、保护器、混淆器和异常 - Android 版 PEiD * [a-ray-grass](https://github.com/hashlookup/a-ray-grass) - 在 yara 中提供布隆过滤器支持的 YARA 模块。在 [hashlookup.io](https://hashlookup.io/) 的上下文中，它允许在任何进一步分析之前快速丢弃已知文件。 * [Arya- The Reverse YARA](https://github.com/claroty/arya) - Arya 是一种独特的工具，它生成旨在触发 YARA 规则的伪恶意文件。你可以把它想象成一个反向 YARA，因为它做的恰恰相反——它创建与你的规则匹配的文件。 * [Audit Node Modules With YARA Rules](https://github.com/rpgeeganage/audit-node-modules-with-yara) - 针对给定的 node_module 文件夹运行一组给定的 YARA 规则 * [AutoYara](https://github.com/NeuromorphicComputationResearchProgram/AutoYara) - 使用双聚类自动生成 Yara 规则 * [base64_substring](https://github.com/DissectMalware/base64_substring) - 生成 YARA 规则以针对 base64 编码的数据匹配术语。 * [bincapz](https://github.com/chainguard-dev/bincapz) - 使用片段分析枚举程序功能和恶意行为。 * [CAPE: Config And Payload Extraction](https://github.com/kevoreilly/CAPEv2) :eyes: - Cuckoo 的扩展，专门设计用于从恶意软件中提取 payload 和配置。CAPE 可以在样本的初始运行中检测到许多恶意软件技术或行为，以及特定的恶意软件家族。然后，此检测会使用特定的包触发第二次运行，以便提取恶意软件 payload 及其可能的配置，以进行进一步分析。 * [CCCS-Yara](https://github.com/CybercentreCanada/CCCS-Yara) - YARA 规则元数据规范和验证实用程序。 * [clara](https://github.com/abhinavbom/clara) :sparkles: - 为你的 S3 Buckets 提供无服务器、实时的 ClamAV+Yara 扫描。 * [Cloudina Security Hawk](https://github.com/cloudina/hawk) :sparkles: * [nullsec-yara](https://github.com/bad-antics/nullsec-yara) - YARA 规则开发工具包，具有规则生成、优化和测试功能。 - 基于 CLAMAV 和 YARA 的多云防病毒扫描 API，适用于 AWS S3、AZURE Blob Storage、GCP Cloud Storage。 * [CrowdStrike Feed Management System](https://github.com/CrowdStrike/CrowdFMS) - 用于自动化从 VirusTotal 收集和处理样本，并基于 YARA 规则匹配执行命令的框架。 * [CSE-CST AssemblyLine](https://bitbucket.org/cse-assemblyline/alsvc_yara) - 加拿大通信安全局 (CSE) 开源了 [AssemblyLine](https://cyber.gc.ca/en/assemblyline)，这是一个用于分析恶意文件的平台。此处链接的组件提供了 YARA 的接口。 * [decompressingyara](https://github.com/rjzak/decompressingyara) - 用于恶意软件样本被压缩存储，但你仍想针对它们运行规则的情况。 * [dnYara](https://github.com/airbus-cert/dnYara) - 原生 YARA 库的多平台 .NET 包装库。 * [ELAT](https://github.com/reed1713/ELAT) - 创建/使用 YARA 规则进行 Windows 事件日志分析的事件日志分析工具。 * [Emerson File Scanning Framework (FSF)](https://github.com/EmersonElectricCo/fsf) - 模块化、递归的文件扫描解决方案。 * [ExchangeFilter](https://github.com/k-sec-tools/ExchangeFilter) - MS Exchange 传输代理使用 YARA 检测电子邮件中的恶意软件。 * [factual-rules-generator](https://github.com/CIRCL/factual-rules-generator) - Factual-rules-generator 是一个开源项目，旨在从运行的操作系统生成有关已安装软件的 YARA 规则。 * [Fadavvi YARA collection script](https://github.com/Fadavvi/Yara-Repo) * [FARA](https://github.com/bartblaze/FARA) - FARA，或称 Faux YARA，是一个简单的仓库，包含一组故意错误的 Yara 规则。它旨在作为新安全分析师、Yara 新手甚至希望保持规则编写（和调试）敏锐度的 Yara 老手的训练工具。 * [Fastfinder](https://github.com/codeyourweb/fastfinder) - 快速可定制的跨平台可疑文件查找器。专为事件响应设计。支持 md5/sha1/sha256 哈希、字面量/通配符字符串、正则表达式和 YARA 规则。可以轻松打包以部署在任何 windows / linux 主机上。 * [findcrypt-yara](https://github.com/polymorf/findcrypt-yara) 和 [FindYara](https://github.com/OALabs/FindYara) - IDA pro 插件，用于使用 YARA 规则扫描二进制文件以查找加密常量（及更多）。 * [Fibratus](https://www.fibratus.io) - 用于 Windows 内核探索和可观察性的现代工具，专注于安全性和 [support for YARA](https://www.fibratus.io/#/filters/functions?id=yara-functions)。 * [Fnord](https://github.com/Neo23x0/Fnord) - 混淆代码的模式提取器。 * [GoDaddy ProcFilter](https://github.com/godaddy/procfilter) :gem: - ProcFilter 是一个具有内置 YARA 集成的 Windows 进程过滤系统。YARA 规则可以使用自定义元标记进行检测，这些标记根据规则匹配调整其响应。它作为 Windows 服务运行，并与 Microsoft 的 ETW API 集成，使得结果可在 Windows 事件日志中查看。安装、激活和删除可以动态完成，不需要重启。 * [GhidraYara](https://github.com/subreption/ghidra_yara) - Ghidra 扩展，通过分析器提供 YARA 的直接集成，以及从代码列表生成规则和在 Ghidra UI 中进行管理。支持广泛的加密常量、CRC 表等库。 * [go-yara](https://github.com/hillu/go-yara) - YARA 的 Go 绑定。 * [halogen](https://github.com/target/halogen) - Halogen 是一种针对恶意文档中嵌入的图像文件自动创建 yara 规则的工具。 * [Hyara](https://github.com/hyuunnn/Hyara) - IDA Pro、Cutter 和 BinaryNinja 插件，可轻松为给定起始地址和结束地址之间的 ASCII 和十六进制字符串创建 YARA 规则。 * [IDA_scripts](https://github.com/swackhamer/IDA_scripts) - 用于从可执行操作码（包括 .NET）生成 YARA 签名的 IDA Python 脚本。 * [ida_yara](https://github.com/alexander-hanel/ida_yara) - 使用 YARA 扫描 IDB 中的数据。 * [ida-yara-processor](https://github.com/bnbdr/ida-yara-processor) - 用于编译 YARA 规则的 IDA 处理器。 * [InQuest ThreatKB](https://github.com/InQuest/ThreatKB) - YARA 规则和 C2 artifacts (IP, DNS, SSL) 的知识库工作流管理。 * [iocextract](https://github.com/InQuest/python-iocextract) - 高级入侵指标 提取器，具有 YARA 规则提取功能。 * [Invoke-Yara](https://github.com/secabstraction/Yara) - 在远程机器上运行 YARA 的 Powershell 脚本。 * [java2yara](https://github.com/fxb-cocacoding/java2yara) - 一个从 JAVA 生成 YARA 规则的最小库 * [KLara](https://github.com/KasperskyLab/klara) - 用 Python 编写的分布式系统，允许研究人员在样本集合中扫描一条或多条 YARA 规则。 * [Laika BOSS](https://github.com/lmco/laikaboss) - 对象扫描器和入侵检测系统，力求实现以下目标：可扩展、灵活、详细。 - [Whitepaper](https://github.com/lmco/laikaboss/blob/master/LaikaBOSS_Whitepaper.pdf) * [libyara.NET](https://github.com/microsoft/libyara.NET) - 在 C++ CLI 中构建的 libyara 的 .NET 包装器，用于轻松将 yara 合并到 .NET 项目中 * [Malcat](https://malcat.fr) - 用于恶意软件分析的十六进制编辑器、反汇编器和反编译器。嵌入 YARA 扫描器和规则编辑器，以便轻松在应用内创建规则。提供免费和付费版本。 * [MalConfScan](https://github.com/JPCERTCC/MalConfScan) - MalConfScan 是一个 Volatility 插件，用于提取已知恶意软件的配置数据。此工具在内存映像中搜索恶意软件并转储配置数据。此外，此工具具有列出恶意代码引用的字符串的功能。 * [malscan](https://github.com/usualsuspect/malscan) - 扫描进程内存以查找 YARA 匹配，并在找到匹配项时执行 Python 脚本。 * [malwatch](https://github.com/defended-net/malwatch) - 用 go 编写的快速轻量级恶意软件扫描程序，非常适合基于 Linux 的 Web 服务器环境。目前用于一些互联网上最大的部署中。 * [Manalyzer Yara Validator](https://yaravalidator.manalyzer.org/) - 在所有 yara 版本上在线编译你的规则以检测兼容性问题！ * [MISP Threat Sharing](https://github.com/MISP/MISP) - 威胁情报平台，包括指标、威胁情报、恶意软件样本和二进制文件。包括共享、生成和验证 YARA 签名的支持。 * [MITRE MultiScanner](https://github.com/mitre/multiscanner) - 文件分析框架，通过自动为用户运行一套工具并聚合输出来帮助用户评估一组文件。 * [mkYARA](https://github.com/fox-it/mkYARA) - 基于二进制代码生成 YARA 规则。 * [mquery](https://github.com/CERT-Polska/mquery) - 用于在大型数据集上运行极快 YARA 查询的 Web 前端。 * [ndaal YARA ruleset checker](https://gitlab.com/ndaal_open_source/ndaal_yara_nyc) - ndaal YARA 规则集检查器，开源 * Nextron Systems OSS and Commercial Tools (Florian Roth: @Neo23x0- [Loki](https://github.com/Neo23x0/Loki) 用 Python 实现的 IOC 和 YARA 规则扫描器。开源且免费。 - [THOR Lite](https://www.nextron-systems.com/thor-lite/) 用 Go 实现的 IOC 和 YARA 规则扫描器。闭源，免费，但需要注册。 * [node-yara](https://github.com/nospaceships/node-yara) - Node.js 的 YARA 支持。 * [ocaml-yara](https://github.com/elastic/ocaml-yara) - libyara 的 OCaml 绑定 * [OCYara](https://github.com/bandrel/OCyara) - 对图像文件执行 OCR 并扫描它们以查找与 YARA 规则的匹配项。 * [osquery](https://osquery.readthedocs.io/en/stable/deployment/yara/) - 使用 osquery 进行基于 YARA 的扫描。 * [PasteHunter](https://github.com/kevthehermit/PasteHunter) - 使用 YARA 规则扫描 pastebin.com。 * [plast](https://github.com/sk4la/plast) - 用于使用 YARA 检测和处理 IOC 的威胁狩猎工具。 * [plyara](https://github.com/plyara/plyara) - 使用 Python 解析 YARA 规则。 * [Polichombr](https://github.com/ANSSI-FR/polichombr) - 具有 YARA 规则匹配和其他功能的协作恶意软件分析框架。 * [PwC Cyber Threat Operations rtfsig](https://github.com/PwCUK-CTO/rtfsig) - 此工具旨在轻松签名 RTF 文件中可能独特的部分。 * [VirusTotalTools](https://github.com/silascutler/VirusTotalTools) - 用于针对 Virus Total 检查样本的工具，包括 VT_RuleMGR，用于管理威胁狩猎 YARA 规则。 * [shotgunyara](https://github.com/darienhuss/shotgunyara) - 给定一个字符串，创建该字符串的 255 个 xor 编码版本作为 YARA 规则。 * [spyre](https://github.com/spyre-project/spyre) - 简单、独立的基于 YARA 的文件 IOC 扫描器。 * [static_file_analysis](https://github.com/lprat/static_file_analysis) - 使用 clamscan 和 YARA 深度分析嵌入文件（doc、pdf、exe 等）。 * [stoQ](https://github.com/PUNCH-Cyber/stoq) - 模块化且高度可定制的框架，用于从多个不同的数据源创建数据集。 * [Strelka](https://github.com/target/strelka) - 基于 Python3、ZeroMQ 和 YARA 构建的面向检测的文件分析系统，主要用于威胁检测/狩猎和情报收集。 * [Sysmon EDR](https://github.com/ion-storm/sysmon-edr) :sparkles: - YARA 扫描、进程终止、网络阻止等。 * [SwishDbgExt](https://github.com/comaeio/SwishDbgExt) - Microsoft WinDbg 扩展，其中包括使用 YARA 规则在内存中搜索进程的能力。 * [ThreatIngestor](https://github.com/InQuest/ThreatIngestor/) - 自动从许多来源提取和聚合 IOC，包括 YARA 规则。 * [UXProtect](https://digitasecurity.com/uxprotect/) - Apple 内置 XProtect YARA 签名的缺失 UI。枚举签名、扫描文件等。 * [VTCodeSimilarity-YaraGen](https://github.com/arieljt/VTCodeSimilarity-YaraGen) :gem: :sparkles: - 由 [@arieljt](https://twitter.com/arieljt) 编写的使用 VirusTotal 代码相似性功能 `code-similar-to:` 的 Yara 规则生成器。 * [Vxsig](https://github.com/google/vxsig) :sparkles: - 从一组相似的二进制文件中自动生成 AV 字节签名。 * [yabin](https://github.com/AlienVault-OTX/yabin) - 从恶意软件中的可执行代码创建 YARA 签名。 * [yaml2yara](https://github.com/nccgroup/yaml2yara) - 从 YAML 输入生成批量 YARA 规则。 * [YARA-CI](https://yara-ci.cloud.virustotal.com/) :sparkles: - YARA-CI 帮助你保持 YARA 规则的良好状态。它可以集成到任何 GitHub * [yaradbg-backend](https://github.com/DissectMalware/yaradbg-backend) :gem: - YaraDbg 是一个免费的基于 Web 的 Yara 调试器，旨在帮助安全分析师以更少的精力和更高的信心编写狩猎或检测规则。 * [yaradbg-frontend](https://github.com/DissectMalware/yaradbg-frontend) :eyes: - YaraDbg 是一个免费的基于 Web 的 Yara 调试器，旨在帮助安全分析师以更少的精力和更高的信心编写狩猎或检测规则。 * [yara-endpoint](https://github.com/Yara-Rules/yara-endpoint) - 用于事件响应以及基于 YARA 签名的反恶意软件端点的工具。 * [YaraFileCheckerLib](https://github.com/k-sec-tools/YaraFileCheckerLib) - .Net 库，旨在使检查潜在恶意文件和存档使用 YARA 变得更容易，并根据检测到的规则的权重做出有关其危害的决定。 * [YaraGenerator](https://github.com/Xen0ph0n/YaraGenerator) - 快速、简单且有效的 yara 规则创建，用于隔离恶意软件家族和其他感兴趣的恶意对象。 * [YaraGen](https://github.com/mrexodia/YaraGen) 和 [yara_fn](https://github.com/williballenthin/idawilli/tree/master/scripts/yara_fn) - 分别用于 x64dbg 和 IDAPython 的插件，可从函数块生成 YARA 规则。 * [YaraGuardian](https://github.com/PUNCH-Cyber/YaraGuardian) - 用于管理 YARA 规则的 Django Web 界面。 * [YaraHunter](https://github.com/deepfence/YaraHunter) - 用于云原生的恶意软件扫描器，作为 CI/CD 和运行时的一部分 * [yara-java](https://github.com/subreption/yara-java) - YARA 的 Java 绑定（Subreption fork，维护至 2024 年，[old bindings](https://github.com/p8a/yara-java))。 * [yaralyzer](https://github.com/michelcrypt4d4mus/yaralyzer) - 直观检查并强制解码在二进制和文本数据中找到的 YARA 和正则匹配项。带颜色。 * [yaramail](https://seanthegeek.github.io/yaramail/) - 专为网络钓鱼分类自动化设计的 YARA 扫描器。对电子邮件电子邮件身份验证、附件和规范化正文内容进行分类。 * [yaraMail](https://github.com/kevthehermit/yaraMail) - 用于 IMAP 源和保存的流的 YARA 扫描器。 * [Yara Malware Quick menu scanner](https://github.com/techbliss/Yara_Mailware_Quick_menu_scanner) - 将强大的 YARA 模式扫描器添加到 Windows 右键菜单中。 * [YaraManager](https://github.com/kevthehermit/YaraManager) - 基于 Web 的 YARA 规则管理器。 * [Yaramanager](https://github.com/3c7/yaramanager) ([PyPI](https://pypi.org/project/yaramanager/)) - 用于管理和组织你的 Yara 规则集的命令行工具。 * [yaramod](https://github.com/avast/yaramod) - 一个库，提供将 YARA 规则解析为 AST 的功能以及用于构建新 YARA 规则集的 C++ 编程接口。 * [yarAnalyzer](https://github.com/Neo23x0/yarAnalyzer) - YARA 规则集覆盖范围分析器。 * [yara-ocaml](https://github.com/XVilka/yara-ocaml) - YARA 的 OCaml 绑定 * [yara-parser](https://github.com/Northern-Lights/yara-parser) - 使用与 YARA 完全相同的语法解析规则集的工具。用 Go 编写。 * [yaraparser](https://github.com/BitsOfBinary/yaraparser) - 解析 Yara 规则的 Python 3 工具。 * [yaraPCAP](https://github.com/kevthehermit/YaraPcap) - 用于 IMAP 源和保存的流的 YARA 扫描器。 * [yara-procdump-python](https://github.com/google/yara-procdump-python) - 包装 YARA 进程内存访问 API 的 Python 扩展。 * [yara-rust](https://github.com/Hugal31/yara-rust) - VirusTotal/Yara 的 Rust 绑定 * [yara-signator](https://github.com/fxb-cocacoding/yara-signator) :sparkles: - Malpedia 的自动 YARA 规则生成 * [YARA-sort](https://github.com/horsicq/YARA-sort) - 根据 YARA 规则将文件聚合到集合中。[blog](https://n10info.blogspot.com/2019/10/nfd-sort.html) * [Yara Python ICAP Server](https://github.com/RamadhanAmizudin/python-icap-yara) - 带有 YARA 扫描器的 ICAP 服务器。 * [yarasafe](https://github.com/lucamassarelli/yarasafe) - 使用机器学习自动生成函数签名。 * [Yara-Scanner](https://github.com/PolitoInc/Yara-Scanner) - 基于 Python 的扩展，将 YARA 扫描器集成到 Burp Suite 中。 * [yarascanner](https://github.com/jheise/yarascanner) - 基于 Golang 的 Web 服务，用于使用 YARA 规则扫描文件。 * [YaraSharp](https://github.com/stellarbear/YaraSharp) - Yara 模式匹配库的 C# 包装器 * [Yara Toolkit](https://yaratoolkit.securitybreak.io/) - 这是 Yara 编辑器。你可以编写自己的 Yara 规则或复制粘贴一个进行编辑。 * [YaraStation](https://github.com/NumLocK15/yarastation) - Yara station 是一个管理门户，旨在促进 Loki 扫描器的使用。 * [yara_tools](https://github.com/matonis/yara_tools) - 使用自然 Python 约定编写 YARA 规则的 Python 绑定。 * [Yara-Validator](https://github.com/CIRCL/yara-validator) - 验证 YARA 规则并尝试修复损坏的规则。 * [yaraVT](https://github.com/deadbits/yaraVT) - 使用 Yara 扫描文件并将规则匹配作为注释发送到 VirusTotal 报告。 * [yara_zip_module](https://github.com/stoerchl/yara_zip_module) - 在 zip 文件中搜索字符串。 * [yarg](https://github.com/immortalp0ny/yarg) - 用于从 x86/x86-64 代码生成 YARA 规则的 IDAPython 插件。 * [yarGen](https://github.com/Neo23x0/yarGen) - 用于查找相关样本和狩猎的 YARA 规则生成器。 * [Yara Scanner](https://github.com/ace-ecosystem/yara_scanner) - 围绕 yara-python 项目的包装器，提供多种功能。 * [Yarasilly2](https://github.com/YARA-Silly-Silly/yarasilly2) - 一种半自动便捷工具，用于从样本病毒文件生成 YARA 规则（WIP），供恶意软件分析师使用，灵感来自 VirusTotal Premium Account 的 DIFF 功能。 * [yaya](https://github.com/EFForg/yaya) - 自动管理开源 yara 规则并运行扫描。 * [YaYaGen](https://github.com/jimmy-sonny/YaYaGen) - Android 恶意软件的 YARA 规则生成器。 * [Yeti](https://github.com/yeti-platform/yeti) - 旨在将可观察对象、入侵指标、TTP 和威胁知识组织在一个统一仓库中的平台。 * [yextend](https://github.com/BayshoreNetworks/yextend) - 处理存档文件数据的 YARA 集成软件。 * [yaraZeekAlert](https://github.com/SCILabsMX/yaraZeekAlert) :sparkles: - 使用 YARA 规则扫描文件并发送电子邮件警报，其中包括文件传输的网络上下文，如果可疑文件小于 10 MB，则将其附加。 * [yaraScanParser](https://github.com/Sh3llyR/yaraScanParser) - [Yara Scan Service](https://riskmitigation.ch/yara-scan/) JSON 输出文件的解析工具。 * [YARI](https://github.com/avast/yari) - 用 Rust 编写的 YARA 语言的交互式调试器。 * [YLS](https://github.com/avast/yls) - 用于 YARA 的语言服务器，可与例如 vscode 或 vim 集成。提供代码补全、函数文档、代码格式化、调试等。 * [YMCA](https://github.com/m0n4/YARA-Matches-Correspondance-Array) - 显示 YARA 规则与样本集合之间匹配项的表格。 * [Yobi](https://github.com/imp0rtp3/Yobi) :sparkles: - Yobi 是一个基本的 firefox 扩展，允许在浏览器呈现的所有脚本和页面上运行公共或私有 YARA 规则。 * [statiStrings](https://github.com/Sh3llyR/statiStrings) - YARA 规则的字符串统计计算器。 ## 服务 * [Hybrid Analysis YARA Search](https://www.hybrid-analysis.com/yara-search) - 来自 CrowdStrike / Hybrid Analysis 的 YARA 搜索/狩猎，由 Falcon MalQuery 提供支持。 * [InQuest Labs](https://labs.inquest.net) :sparkles: :gem: - 请参阅 YARA 部分，了解用于将正则表达式转换为匹配 base64 编码字符串、将字符串转换为 uint() 查找序列等的辅助例程。 * [Koodous](https://koodous.com/) - APK 分析协作平台，具有社区 YARA 规则仓库和大型 APK 样本数据集。 * [MalShare](https://malshare.com/) - 免费的恶意软件仓库，为研究人员提供样本、恶意源和 YARA 结果的访问权限。 * [MalwareConfig](https://malwareconfig.com/) - 从远程访问木马中提取 IOC。 * [YaraEditor (Web)](https://www.adlice.com/download/yaraeditorweb/) - 用于创建和管理 YARA 规则的一站式网站。 * [YARAify](https://yaraify.abuse.ch/):sparkles: - YARAify 是 abuse.ch 的一个项目，允许任何人针对大型 YARA 规则仓库扫描可疑文件（如恶意软件样本或进程转储）。 * [Yara Scan Service](https://riskmitigation.ch/yara-scan/) - 一种简单的服务，用于针对大量恶意和已识别文件测试你的 Yara 规则。 ## 语法高亮 * Atom: [language-yara](https://github.com/blacktop/language-yara) * Emacs: [yara-mode](https://github.com/binjo/yara-mode) * 基于 GTK 的编辑器，如 gedit 和 xed: [GtkSourceView-YARA](https://github.com/wesinator/GtkSourceView-YARA) * Notepad++:userDefinedLanguages](https://github.com/notepad-plus-plus/userDefinedLanguages/blob/master/udl-list.md) * Sublime Text: [YaraSyntax](https://github.com/nyx0/YaraSyntax/) * Vim: [vim-yara](https://github.com/yaunj/vim-yara), [vim-syntax-yara](https://github.com/s3rvac/vim-syntax-yara) * Visual Studio Code: [vscode-yara](https://github.com/infosec-intern/vscode-yara) ## 人物 我们将此页面上项目涉及的任何人的 Twitter 句柄聚合到一个列表中：[awesome-yara Twitter list](https://twitter.com/InQuest/lists/awesome-yara)。如果有人遗漏，请告诉我们。 ## 视频和演讲 * [Finding Evil with YARA](https://www.youtube.com/watch?v=mQ-mqxOfopk) * [SAS2018: Finding aliens, star weapons and ponies with YARA](https://www.youtube.com/watch?v=fbidgtOXvc0) * [Costin Raiu - Combining code similarity with Yara to find goodies](https://www.youtube.com/watch?v=DQXpdEvyasc) * [YARA Rule Processing Sessions - Florian Roth](https://www.youtube.com/playlist?list=PL8OlALxRcWsSEPtN6AujulTHVc9HZMwso) * [Upping the APT hunting game: learn the best YARA practices from Kaspersky](https://securelist.com/yara-webinar-follow-up/96505/) * [Star-Gazing | Using a Full Galaxy of YARA Methods to Pursue an Apex Actor | By Greg Lesnewich](https://www.youtube.com/watch?v=aaV7UieJ_l4) * [Lightweight Binary Similarity - YARA Using PE Features for Quick Wins](https://github.com/g-les/YARA-PE-Features) * [DEF CON 26 - Andrea Marcelli - Looking for the perfect signature an automatic YARA rules](https://www.youtube.com/watch?v=Dz0C55Azn1Y) ## 相关 Awesome 列表 * [Crawler](https://github.com/BruceDone/awesome-crawler) * [CVE PoC](https://github.com/qazbnm456/awesome-cve-poc) * [Forensics](https://github.com/Cugu/awesome-forensics) * [Hacking](https://github.com/carpedm20/awesome-hacking) * [HackwithGithub](https://github.com/Hack-with-Github/Awesome-Hacking) * [Honeypots](https://github.com/paralax/awesome-honeypots) * [Incident-Response](https://github.com/meirwah/awesome-incident-response) * [Infosec](https://github.com/onlurking/awesome-infosec) * [IOCs](https://github.com/sroberts/awesome-iocs) * [Malware Analysis](https://github.com/rshipp/awesome-malware-analysis) * [ML for Cyber Security](https://github.com/jivoi/awesome-ml-for-cybersecurity) * [OSINT](https://github.com/jivoi/awesome-osint) * [PCAP Tools](https://github.com/caesar0301/awesome-pcaptools) * [Pentesting](https://github.com/enaqx/awesome-pentest) * [Reversing](https://github.com/tylerha97/awesome-reversing) * [Security](https://github.com/sbilly/awesome-security) * [Static Analysis](https://github.com/analysis-tools-dev/static-analysis) * [Threat Detection](https://github.com/0x4D31/awesome-threat-detection) * [Threat Intelligence](https://github.com/hslatman/awesome-threat-intelligence) ## 贡献 此列表由 [InQuest](https://inquest.net/) 维护。请随时告知我们我们遗漏的任何内容！ 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ### 贡献者 [](https://github.com/inquest/awesome-yara/graphs/contributors)

标签：Awesome 列表, EDR, incident Response, YARA, 云计算, 云资产可视化, 威胁情报, 安全运营, 开发者工具, 开源列表, 扫描框架, 数字取证, 日志审计, 样本分析, 模式匹配, 特征码, 网络安全, 脆弱性评估, 自动化脚本, 自动化资产收集, 自定义DNS解析器, 规则引擎, 逆向工具, 隐私保护