Wythwool/yara-pack-pro

# yara-pack-pro — 规则包 + 微型 C 扫描器 **功能：** 精选 YARA 规则集（LOLBins、信息窃取器、加密挖矿程序、加壳工具、可疑 API）+ 基于 libyara 的**最小化 C 语言**扫描器。 **目的：** 面向真实的 DFIR/SOC 场景 —— 包含标签/元数据的规则、CI 语料库、FP/FN 指标。 **输出：** 每个文件输出 JSON/NDJSON；退出代码 0/1。 ## 构建 (扫描器) ``` cd scanner && make ./ypp scan ../ci/test_corpus -r --json-out ../report.json # 流式 NDJSON: ./ypp scan ../ci/test_corpus -r | jq . ``` ## 规则 - `10_lolbins.yar` — certutil/mshta/regsvr32/rundll32/bitsadmin/powershell -enc - `20_infostealers.yar` — Chrome/Firefox/Discord/Telegram 窃取数据、外泄提示 - `30_miners.yar` — xmrig/stratum 配置 - `40_packers.yar` — UPX/ASPack/Themida 特征、overlay - `50_susp_api.yar` — VirtualAlloc+WriteProcessMemory+CreateRemoteThread

标签：AMSI绕过, API安全, CI/CD安全, DNS 反向解析, HTTP工具, JSON输出, libyara, Llama, LOLBins, YARA, 云安全监控, 云资产可视化, 代码混淆, 信息窃取器, 加壳器, 召回率, 威胁检测, 客户端加密, 库, 应急响应, 恶意代码分析, 挖矿检测, 数据展示, 知识库安全, 签名匹配, 红队, 网络安全, 自定义DNS解析器, 规则集, 误报率, 配置文件, 隐私保护, 静态分析