parth-pandit1/yara-malware-rules

# YARA 恶意软件检测规则 🛡️ 用于检测 3 个恶意软件家族的 YARA 规则 基于真实样本分析从零编写。 ## 什么是 YARA？ YARA 是一种模式匹配语言，被 杀毒引擎用于检测恶意软件。 这正是 Windows Defender、 CrowdStrike 和 Kaspersky 内部运行的机制！ ## 包含的规则 ### RemcosRAT - 检测 C&C 通信字符串 - Mutex 识别 - 键盘记录器字符串 - 屏幕捕获指示符 ### AsyncRAT - Client 识别字符串 - 证书字符串 - Stub 检测 ### NanoCore RAT - 插件字符串 - 键盘记录指示符 - Builder 识别 ## 测试结果 | 文件 | 结果 | |------|--------| | test_remcos.txt | [已检测] RemcosRAT ✅ | | test_async.txt | [已检测] AsyncRAT ✅ | | test_nano.txt | [已检测] NanoCore ✅ | | clean.txt | [干净] ✅ | ## 如何使用 ``` # 单文件扫描 yara remcos.yar suspicious.exe # 扫描整个文件夹 yara remcos.yar /downloads/ # Python 扫描器 python3 -c " import yara rule = yara.compile('remcos.yar') matches = rule.match('suspicious.exe') print(matches) " ``` ## 规则编写基础 基于对来自 MalwareBazaar 的恶意软件样本进行的真实字符串分析。 使用 Linux strings 命令和 Python 提取字符串。 ## 环境 - Kali Linux（隔离的 VM） - Python 3 + yara-python - MalwareBazaar 样本 ## 相关内容 - RemcosRAT 分析：https://medium.com/@parthpandit402/remcosrat-malware-analysis-a-complete-static-analysis-report-56c0014a6534 ⚠️ 仅供教育和防御目的使用

标签：YARA, 云资产可视化, 威胁情报, 安全, 开发者工具, 自定义DNS解析器, 规则集, 超时处理, 逆向分析, 逆向工具