kruchkovnik15-dot/yara-rules

# YARA 规则 针对恶意软件分析、威胁狩猎和防御研究的以检测为重点的 YARA 规则。 ## 目的 本存储库包含开发用于检测可疑恶意软件行为、凭证访问工具、加载器和防御规避技术的 YARA 规则。 重点是质量而非数量。每个规则都旨在结合有意义的字符串、PE 特征、行为指标和记录的误报考虑因素。 ## 检测哲学 规则应优先考虑： - 高置信度指标 - 行为相关性 - 恶意软件家族特异性 - 误报减少 - 检测可靠性 - 长期可维护性 规则应避免仅依赖于通用字符串。 高质量的检测应结合多个指标，例如： - 唯一字符串 - API 导入 - 锁定工件 - PE 特征 - 编译器工件 - 行为标记 - 恶意软件特定功能 ## ATT&CK 覆盖范围 | 技术 | 描述 | |------------|-------------| | T1003 | 凭证转储 | | T1027 | 伪装文件或信息 | | T1055 | 进程注入 | | T1105 | 工具传输 | | T1562 | 防御规避 | ## 规则类别 当前存储库覆盖范围包括： - 凭证访问 - 防御规避 - 恶意软件加载器 - 执行 - 持久性 - 发现 随着存储库的扩展，将添加更多类别。 ## 存储库结构 ``` docs/ └── rule-writing-standards.md rules/ ├── credential_access/ │ └── nanodump.yar ├── loaders/ │ └── suspicious_loader_behavior.yar ├── defense_evasion/ │ └── amsi_etw_bypass.yar ``` ## 规则质量标准 所有规则应包括： - 描述 - 作者 - 日期 - 参考 - 威胁类别 - 规则版本 - 置信度级别 - 误报 - 标签 ## 误报处理 每个规则应记录预期的误报并解释为什么尽管可能存在合法匹配，检测逻辑仍然有价值。 目标是最大化检测置信度同时最小化分析师疲劳。 ## 预期用途 这些规则旨在用于： - 恶意软件分类 - 威胁狩猎 - 检测工程研究 - 安全验证 - 投资组合演示 ## 未来发展 计划添加包括： - 恶意软件家族特定检测 - 进程注入检测 - C2 框架检测 - 勒索软件行为检测 - LOLBIN 滥用检测 - 内存工件检测 - 加密恶意软件检测 - 高级防御规避检测 ## 免责声明 本存储库旨在用于防御性安全研究、恶意软件分析、检测工程实践和投资组合开发。

标签：API 检测, DNS 反向解析, mutex 标志, PE 文件分析, SEO 关键词, YARA 规则, 凭证访问, 发现, 威胁情报, 安全领域, 工具传输, 开发者工具, 执行, 技术栈, 私有化部署, 编译器特征, 网络信息收集, 自定义DNS解析器, 规则编写, 误报处理, 质量标准, 防御规避