svet-angelov/CTI-YARA-Rules

# CTI YARA 规则 欢迎来到我的威胁情报代码库。这里包含我在独立进行恶意软件分析与逆向工程研究期间编写的自定义 YARA 规则。 ## 概述 此处提供的规则旨在检测常见恶意软件家族的特定行为、加壳工具以及内存特征。这些规则是基于对活跃样本的动态内存分析和静态逆向工程编写的。 ## 规则清单 * **RedLine_Koi.yar**：检测使用 ConfuserEx 加壳的 RedLine Stealer 变体的反射加载机制（Koi 模块）。该规则是在从内存中手动脱壳第二阶段（stage-2） payload 后创建的。 *  ## 关于作者 **Svetoslav Angelov** 威胁情报分析师 | 逆向工程爱好者 * **Medium 博客：** [https://medium.com/@svetli80] * **LinkedIn：** [https://linkedin.com/in/svet-angelov-cybersec] ## 免责声明 提供这些规则仅用于教育和防御目的。尽管已经过测试以尽量减少对标准 Windows 二进制文件的误报，但在部署到生产环境之前，请务必在您自己的环境中进行验证。

标签：ConfuserEx, DNS信息、DNS暴力破解, DNS 反向解析, JARM, RedLine Stealer, YARA, YARA规则, 云安全监控, 云资产可视化, 云资产清单, 信息窃取, 免杀对抗, 内存分析, 威胁情报, 开发者工具, 恶意软件家族, 数据展示, 样本分析, 样本脱壳, 红队, 网络安全, 自定义DNS解析器, 逆向工程, 隐私保护, 静态分析