fareedfauzi/YARA-PlayGround
GitHub: fareedfauzi/YARA-PlayGround
一款面向安全分析师的 YARA 规则管理图形化工具,集规则收集、扫描、编写、测试和 AI 修复于一体。
Stars: 1 | Forks: 0
# YARA 实验场
一个供威胁研究人员管理 YARA 规则、编写签名和扫描文件的工具包。它提供了一个简单的界面,用于从多个来源收集规则,并利用 AI 修复损坏的规则。
## 目录
- [快速开始](#quick-start)
- [主要功能](#main-features)
- [文件夹结构](#folder-structure)
- [安装说明](#installation)
- [AI 配置](#ai-configuration)
## 安装说明
1. **Python**:确保已安装 Python 3.11+。
2. **库设置**:安装所需的工具:
```
pip install -r requirements.txt
```
1. **运行**:
```
python Scripts/yara_playground.py
```
要创建独立的 EXE 文件,请运行 `build_exe.bat`。
## 主要功能
### YARA 扫描器
使用收集的数千条 YARA 规则扫描文件或文件夹。
- **快速扫描**:选择一个文件夹,即刻查看威胁。
- **智能视图**:点击匹配项以查看发现威胁的具体代码。
### YARA 编辑器和测试器 (Lab)
在一个地方编写和测试您的规则。
- **实时检查**:提示您的代码是否有误。
- **批量测试**:一次性对多个文件运行规则,以检测是否有效。
- **AI 修复**:使用 AI 自动修复损坏的规则。
### YARA 收集器
保持您的规则井井有条且时刻更新。
- **自动下载**:自动从 50 多个来源获取规则。
- **规则清理**:查找损坏的规则并将其移走,以免阻碍扫描器运行。
- **AI 修复**:使用 AI 修复整个文件夹中的损坏规则。
### YARA 生成器
使用 Neo23x0 开发的 yarGen-Go 自动创建新规则。
请参阅 https://github.com/Neo23x0/yarGen-Go/tree/main 安装该工具。
- **自动生成规则**:将其指向一个恶意软件样本文件夹,它将为您编写规则。
### YARA 搜索
立即在您的库中查找任何规则。
- **快速搜索**:按名称、作者或规则内的任何文本进行搜索。
- **快速预览**:无需打开文件即可查看规则代码。
## 配置与工具
### YARA 生成器 (yarGen)
**YARA 生成器**功能需要名为 `yarGen-Go` 的工具才能工作。
1. **下载**:从 [https://github.com/Neo23x0/yarGen-Go](https://github.com/Neo23x0/yarGen-Go?tab=readme-ov-file#getting-started) 下载并安装该项目。
2. **设置**:
- 打开 YARA Playground。
- 转到 **YARA Generator** 选项卡。
- 点击 **Browse Tool** 并选择您下载的 `yargen-go.exe`。
3. **用法**:将其指向一个恶意软件样本文件夹,它会自动为您生成一条规则。
### 配置文件
您可以在 `config/` 文件夹中自定义应用设置:
- **`AI.cfg`**:包含用于 **AI Fix** 功能的 OpenAI 设置。
- **`yara_sources.txt`**:应用从中下载 YARA 规则的 URL 列表。
- **`app_settings.json`**:保存您的工具路径,这样就不必每次都选择它们。
## 文件夹结构
| 文件夹 | 描述 |
| :--- | :--- |
| **Master Rules/** | 包含主要的、有效的 YARA 规则。 |
| **Problematic Rules/** | 包含语法错误的规则。 |
| **Fixed Rules/** | 已成功修复的规则。 |
| **Downloaded Public Rules/** | 来自外部来源的原始规则。 |
| **config/** | 设置和 API 配置。 |
## AI 配置
要使用 AI 修复功能:
1. 转到 `config/` 文件夹。
2. 复制 `AI.cfg.example` 并将其重命名为 `AI.cfg`。
3. 打开 `AI.cfg` 并添加您的 OpenAI API 密钥:
```
{
"base_url": "https://api.openai.com/v1",
"api_key": "your-api-key-here",
"model": "gpt-4o"
}
```
### YARA 编辑器和测试器 (Lab)
在一个地方编写和测试您的规则。
- **实时检查**:提示您的代码是否有误。
- **批量测试**:一次性对多个文件运行规则,以检测是否有效。
- **AI 修复**:使用 AI 自动修复损坏的规则。
### YARA 收集器
保持您的规则井井有条且时刻更新。
- **自动下载**:自动从 50 多个来源获取规则。
- **规则清理**:查找损坏的规则并将其移走,以免阻碍扫描器运行。
- **AI 修复**:使用 AI 修复整个文件夹中的损坏规则。
### YARA 生成器
使用 Neo23x0 开发的 yarGen-Go 自动创建新规则。
请参阅 https://github.com/Neo23x0/yarGen-Go/tree/main 安装该工具。
- **自动生成规则**:将其指向一个恶意软件样本文件夹,它将为您编写规则。
### YARA 搜索
立即在您的库中查找任何规则。
- **快速搜索**:按名称、作者或规则内的任何文本进行搜索。
- **快速预览**:无需打开文件即可查看规则代码。
## 配置与工具
### YARA 生成器 (yarGen)
**YARA 生成器**功能需要名为 `yarGen-Go` 的工具才能工作。
1. **下载**:从 [https://github.com/Neo23x0/yarGen-Go](https://github.com/Neo23x0/yarGen-Go?tab=readme-ov-file#getting-started) 下载并安装该项目。
2. **设置**:
- 打开 YARA Playground。
- 转到 **YARA Generator** 选项卡。
- 点击 **Browse Tool** 并选择您下载的 `yargen-go.exe`。
3. **用法**:将其指向一个恶意软件样本文件夹,它会自动为您生成一条规则。
### 配置文件
您可以在 `config/` 文件夹中自定义应用设置:
- **`AI.cfg`**:包含用于 **AI Fix** 功能的 OpenAI 设置。
- **`yara_sources.txt`**:应用从中下载 YARA 规则的 URL 列表。
- **`app_settings.json`**:保存您的工具路径,这样就不必每次都选择它们。
## 文件夹结构
| 文件夹 | 描述 |
| :--- | :--- |
| **Master Rules/** | 包含主要的、有效的 YARA 规则。 |
| **Problematic Rules/** | 包含语法错误的规则。 |
| **Fixed Rules/** | 已成功修复的规则。 |
| **Downloaded Public Rules/** | 来自外部来源的原始规则。 |
| **config/** | 设置和 API 配置。 |
## AI 配置
要使用 AI 修复功能:
1. 转到 `config/` 文件夹。
2. 复制 `AI.cfg.example` 并将其重命名为 `AI.cfg`。
3. 打开 `AI.cfg` 并添加您的 OpenAI API 密钥:
```
{
"base_url": "https://api.openai.com/v1",
"api_key": "your-api-key-here",
"model": "gpt-4o"
}
```
标签:AI 辅助, AMSI绕过, DAST, EDR, Petitpotam, Python GUI, YARA, yarGen, 云资产可视化, 威胁情报, 威胁检测, 安全分析师, 库, 应急响应, 开发者工具, 恶意软件分析, 文件扫描, 桌面应用, 模块化设计, 签名编写, 网页爬虫, 脆弱性评估, 自动化修复, 规则管理, 逆向工具