Purva-cybersec/malware-detection-rule-development

# 恶意软件检测规则开发 ## 概述 本项目演示了一个小型的基于 YARA 的检测实验室，主要侧重于使用安全的文本示例文件来识别可疑的文件模式和命令指标。 该项目探讨了如何使用 YARA 规则来检测潜在的恶意行为，例如可疑的 PowerShell 执行、编码命令以及凭据转储指标。 这些规则已在本地使用 YARA CLI 进行了测试，相关输出结果记录在 `test-result.md` 文件中。 ## 项目目标 - 开发 YARA 规则以检测可疑的 PowerShell 执行模式 - 识别通常与混淆脚本相关的编码命令使用情况 - 检测与凭据转储活动相关的关键字指标 - 根据受控的示例文件测试检测逻辑 - 记录检测假设、规则行为以及误报考量 ## 项目结构 ``` malware-detection-rule-development/ │ ├── README.md ├── test-result.md │ ├── rules/ │ ├── suspicious_powershell.yar │ ├── encoded_command.yar │ └── credential_dump_keywords.yar │ ├── samples/ │ ├── benign_admin_script.txt │ ├── suspicious_encoded_command.txt │ ├── suspicious_credential_dump.txt │ └── clean_notes.txt │ └── notes/ └── detection_logic.md ```

标签：AI合规, DNS 反向解析, IPv6, OpenCanary, PowerShell, YARA, 云安全监控, 云计算, 云资产可视化, 凭证转储, 命令行检测, 威胁情报, 安全测试, 安全防护, 开发者工具, 攻击性安全, 混淆脚本, 编码命令, 网络安全, 规则引擎, 隐私保护, 静态分析