medTrigui/yara-rules

# YARA 规则仓库 本仓库包含为实用威胁检测和长期可维护性组织的 YARA 检测规则。 当前重点包括 `rules/campaigns/` 下的活动特定规则，并为 `rules/families/` 下的更广泛家族覆盖预留空间。 ## 规则组织 - `rules/campaigns/`：与特定活动、事件或入侵相关的规则。 - `rules/families/`：按恶意软件/工具家族分组的规则。 - 平台拆分（`windows`、`macos`、`linux`、`js`）使匹配逻辑保持上下文相关且更易于审查。 ## 用法 ### 前置条件 在环境中安装 YARA 工具（`yara` 和 `yarac`）。 对于基于 Ubuntu 的系统： ``` sudo apt-get install -y yara ``` ### 验证所有规则 从仓库根目录运行： ``` ./tests/validate-rules.sh ``` 该脚本会使用 `yarac` 编译每个 `.yar`/`.yara` 文件，并在语法/编译错误时快速失败。 ## 编写和更新规则 - 保持元数据完整且一致（作者、日期、家族、平台、类别、置信度）。 - 优先使用具体指示器而非宽泛字符串以减少误报。 - 保持规则名称和文件描述性且稳定。 - 在检测逻辑变更时更新 `date_modified` 和版本/修订字段。 参见： - `docs/naming-convention.md` - `docs/rule-writing-guidelines.md` - `docs/testing.md` ## 贡献 1. 在适当的活动/家族文件夹中添加或更新规则。 2. 使用 `./tests/validate-rules.sh` 在本地运行验证。 3. 在提交信息中包含上下文（更改内容及原因）。 4. 提交 PR 并附带引用和预期检测行为。 ## AI 协助披露 本仓库的部分内容（包括文档、文件脚手架和草案规则内容）可能借助 AI 协助创建或优化。所有安全规则及相关内容在使用前必须由人工维护者审核和验证。

标签：CMS安全, Cutter, DAST, DNS信息、DNS暴力破解, IOC, JavaScript, URL发现, YARA规则, 云资产清单, 代码验证, 威胁情报, 子域名暴力破解, 安全检测, 平台检测, 开发者工具, 开源框架, 恶意软件分析, 恶意软件家族, 持续集成, 网络攻击活动, 自动化检测, 规则组织, 逆向工程, 速率限制, 防御加固