Sam76-cell/yara-rules

[](https://travis-ci.org/Yara-Rules/rules) # 项目 本项目满足了一群 IT 安全研究人员的需求，他们希望拥有一个单一的存储库，在其中可以编译、分类不同的 Yara 签名，并尽可能保持最新状态，同时以此作为一个收集 Yara 规则的开源社区。我们的 Yara 规则集基于 GNU-GPLv2 许可证，对任何用户或组织开放，前提是您在该许可证下使用它。 Yara 的使用日益广泛，但有关该工具及其用法的知识却分散在许多不同的地方。Yara Rules 项目旨在成为 Yara 用户的聚集地，汇集一个尽可能完整的规则集，从而为用户提供一种让 Yara 快速投入使用的方法。 我们希望这个项目对安全社区和所有 Yara 用户都有用，并期待您的反馈。请通过订阅我们的邮件列表来加入这个社区。 # 贡献 如果您有兴趣与我们和安全社区分享您的 Yara 规则，您可以加入我们的邮件列表，向我们的 Twitter 账号发送消息，或者在此处发送 pull request。 Twitter 账号：https://twitter.com/yararules 邮件列表：http://list.yararules.com/mailman/listinfo/yararules.com.signatures # 环境要求 大多数规则的运行需要 Yara **3.0** 或更高版本。这主要是因为使用了在该版本中引入的 "pe" 模块。 您可以使用 `yara -v` 检查已安装的版本。 Ubuntu 14.04 LTS 默认存储库中的可用软件包版本太旧。您可以从源代码进行安装，或者使用 [Remnux 存储库](https://launchpad.net/~remnux/+archive/ubuntu/stable) 中提供的软件包。 此外，如果您想使用 mobile_malware 类别中的规则，您将需要 [Androguard 模块](https://github.com/Koodous/androguard-yara)。 # 分类 ## Antidebug/AntiVM 在本节中，您将找到旨在检测恶意软件用于逃避自动化分析的防调试和防虚拟化技术的 Yara 规则。 ## CVE_Rules 在本节中，您将找到专门用于识别特定 CVE 的 Yara 规则。 ## Crypto 在本节中，您将找到旨在检测加密算法存在的 Yara 规则。 ## Exploit Kits 在本节中，您将找到旨在检测 Exploit Kits 存在的 Yara 规则。 ## 恶意文档 在本节中，您将找到用于文档检测的 Yara 规则，以查找它们是否被篡改以利用恶意代码。 ## Malware 在本节中，您将找到专门用于识别已知恶意软件的 Yara 规则。 ## Packers 在本节中，您将找到旨在检测已知软件加壳工具 (packers) 的 Yara 规则，恶意软件可以利用这些加壳工具来隐藏自身。 ## Webshells 在本节中，您将找到专门用于识别已知 Webshells 的 Yara 规则。 ## 邮件 在本节中，您将找到专门用于识别恶意电子邮件的 Yara 规则。 ## Malware Mobile 在本节中，您将找到专门用于识别已知移动恶意软件的 Yara 规则。 本节中的许多规则使用了由 https://koodous.com/ 的人员开发的 Androguard 模块。 您可以在 https://github.com/Koodous/androguard-yara 获取它以及安装说明。 # 联系方式 网页：http://yararules.com Twitter 账号：https://twitter.com/yararules 邮件列表：http://list.yararules.com/mailman/listinfo/yararules.com.signatures

标签：Androguard, Antidebug, AntiVM, DNS 反向解析, DOM解析, GPLv2, IT安全研究, PE模块, YARA, 云资产可视化, 反调试, 威胁情报, 开发者工具, 恶意代码分析, 移动端恶意软件, 签名库, 虚拟机检测, 逆向工具, 配置文件