rlawlgns3433/Yara_Rules

## 📖 项目概述 本仓库记录了 YARA 规则创建中使用的关键模式和技术，重点关注正则表达式和恶意软件检测。 内容并非简单的理论堆砌，而是围绕源自真实日志和数据格式的实用模式进行组织。 ## 🎯 学习目标 - 理解 YARA 规则创建的基础知识 - 提升使用正则表达式进行模式检测的技能 - 培养从安全日志中提取有价值数据的能力 ## 🧠 我学到了什么 ### 1. 什么是 YARA？ - 一种用于识别恶意软件和可疑文件的基于规则的工具 - 使用字符串、模式和条件来检测威胁 ### 2. 正则表达式用例 #### 📌 文件路径检测 识别 Windows 文件路径模式 ``` [A-Z]:\\(?:[^\\\n]+\\)*[^\\\n]+ ``` #### 📌 URL 和网络日志 检测 HTTP/HTTPS 请求 ``` https?:\/\/[^\s]+ ``` #### 📌 查询字符串检测 ``` \?q=.* ``` #### 📌 哈希值检测 - MD5 ``` [a-fA-F0-9]{32} ``` - SHA-1 ``` [a-fA-F0-9]{40} ``` #### 📌 Base64 编码字符串 ``` [A-Za-z0-9+/=]{20,} ``` #### 📌 文件签名 (Magic Numbers) - PNG ``` 89 50 4E 47 0D 0A 1A 0A ``` - JPG ``` FF D8 FF E0 ``` ## 🛠 YARA 规则示例 ``` rule Suspicious_HTTP_Traffic { strings: $url = /https?:\/\/[^\s]+/ $query = /\?q=/ condition: $url and $query } ``` ## 🔍 使用的样本数据 - Web 请求日志（IP、URL、查询参数） - 文件路径数据 - 哈希值和编码字符串 - 文件签名（十六进制值） ## 🚀 未来计划 - 基于真实恶意软件样本创建 YARA 规则 - 学习降低误报的技术 - 使用各种攻击场景扩展检测规则

标签：Base64, BurpSuite集成, MD5, SHA256, URL检测, XML 请求, YARA, 云资产可视化, 入侵指标, 威胁情报, 安全仓库, 安全开发, 开发者工具, 恶意代码分析, 数字取证, 数据提取, 文件签名, 样本分析, 模式匹配, 网络安全, 自动化脚本, 自动化资产收集, 自定义DNS解析器, 误报减少, 配置文件, 隐私保护, 魔术头, 默认DNS解析器