VirusTotal/yara

[](https://gitter.im/VirusTotal/yara?utm_source=badge&utm_medium=badge&utm_campaign=pr-badge&utm_content=badge) [](https://ci.appveyor.com/project/plusvic/yara) [](https://scan.coverity.com/projects/plusvic-yara) ## YARA 概览 YARA 是一款旨在（但不限于）帮助恶意软件研究人员识别和分类恶意软件样本的工具。使用 YARA，您可以基于文本或二进制模式创建恶意软件家族（或任何您想描述的内容）的描述。每个描述（即规则）由一组字符串和一个决定其逻辑的布尔表达式组成。让我们看一个例子： ``` rule silent_banker : banker { meta: description = "This is just an example" threat_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c } ``` 上面的规则告诉 YARA，任何包含这三个字符串之一的文件都必须被报告为 *silent_banker*。这只是一个简单的例子，利用通配符、不区分大小写的字符串、正则表达式、特殊运算符以及您将在 [YARA's documentation](https://yara.readthedocs.org/) 中发现的许多其他功能，可以创建更复杂、更强大的规则。 YARA 是跨平台的，可以在 Windows、Linux 和 Mac OS X 上运行，可以通过其命令行界面使用，也可以通过 yara-python 扩展从您自己的 Python 脚本中使用。 ## 其他资源 您使用 GitHub 存储 YARA 规则吗？[YARA-CI](https://yara-ci.cloud.virustotal.com) 可能是您工具箱中的一个有用补充。这是一个 GitHub 应用程序，可为您的规则提供持续测试，帮助您识别常见错误和误报。 如果您计划使用 YARA 扫描压缩文件（.zip、.tar 等），您应该看看 [yextend](https://github.com/BayshoreNetworks/yextend)，这是由 Bayshore Networks 开发并开源的一个非常有用的 YARA 扩展。 此外，[InQuest](https://inquest.net/) 的伙伴们整理了一份很棒的 [YARA-related stuff](https://github.com/InQuest/awesome-yara) 列表。 ## 谁在使用 YARA * [0x101 Cyber Security](https://0x101-cyber-security.de) * [Adlice](https://www.adlice.com/) * [AlienVault](https://otx.alienvault.com/) * [Avast](https://www.avast.com/) * [BAE Systems](https://www.baesystems.com/home?r=ai) * [Bayshore Networks, Inc.](https://www.bayshorenetworks.com) * [Binalyze](https://www.binalyze.com/) * [BinaryAlert](https://github.com/airbnb/binaryalert) * [Blueliv](https://www.blueliv.com) * [Cado Security](https://docs.cadosecurity.com/cado-response/investigate/detections#setting-up-detections) * [Cisco Talos Intelligence Group](https://talosintelligence.com/) * [Cloudina Security](https://cloudina.co.uk) * [Cofense](https://cofense.com) * [Conix](https://www.conix.fr) * [Corelight](https://corelight.com/products/yara) * [CounterCraft](https://www.countercraft.eu) * [Cuckoo Sandbox](https://github.com/cuckoosandbox/cuckoo) * [Cyber Triage](https://www.cybertriage.com) * [Cybereason](https://www.cybereason.com) * [Digita Security](https://digitasecurity.com/product/uxprotect) * [Dragos Platform](https://dragos.com/platform/) * [Dtex Systems](https://dtexsystems.com) * [ESET](https://www.eset.com) * [ESTsecurity](https://www.estsecurity.com) * [Elastic Security](https://github.com/elastic/protections-artifacts) * [FactorX.ai](https://factorx.ai) * [Fidelis XPS](https://www.fidelissecurity.com/network-security-appliance/Fidelis-XPS) * [FireEye, Inc.](https://www.fireeye.com) * [Forcepoint](https://www.forcepoint.com) * [Fox-IT](https://www.fox-it.com) * [FSF](https://github.com/EmersonElectricCo/fsf) * [Guidance Software](https://www.guidancesoftware.com/endpointsecurity) * [Heroku](https://heroku.com) * [Hornetsecurity](https://www.hornetsecurity.com/en/) * [ICS Defense](https://icsdefense.net/) * [InQuest](https://www.inquest.net/) * [IntelOwl](https://github.com/intelowlproject/IntelOwl) * [Joe Security](https://www.joesecurity.org) * [Kaspersky Lab](https://www.kaspersky.com) * [KnowBe4](https://www.knowbe4.com) * [Koodous](https://koodous.com/) * [Laika BOSS](https://github.com/lmco/laikaboss) * [Lastline, Inc.](https://www.lastline.com) * [libguestfs](https://www.libguestfs.org/) * [LimaCharlie](https://limacharlie.io/) * [Malpedia](https://malpedia.caad.fkie.fraunhofer.de/) * [Malwation](https://malwation.com/) * [McAfee Advanced Threat Defense](https://mcafee.com/atd) * [Metaflows](https://www.metaflows.com) * [NBS System](https://www.nbs-system.com/) * [ndaal](https://ndaal.eu) * [NetLock](https://netlockendpoint.com) * [Nextron Systems](https://www.nextron-systems.com) * [Nozomi Networks](https://www.nozominetworks.com) * [osquery](https://www.osquery.io) * [Payload Security](https://www.payload-security.com) * [PhishMe](https://phishme.com/) * [Picus Security](https://www.picussecurity.com/) * [Radare2](https://rada.re) * [RedSocks Security](https://redsocks.eu/) * [ReversingLabs](https://reversinglabs.com) * [Scanii](https://scanii.com) * [SecondWrite](https://www.secondwrite.com) * [SonicWall](https://www.sonicwall.com/) * [SpamStopsHere](https://www.spamstopshere.com) * [Spyre](https://github.com/spyre-project/spyre) * [stoQ](https://stoq.punchcyber.com) * [Sublime Security](https://sublime.security) * [SumoLogic](https://sumologic.com) * [Tanium](https://www.tanium.com/) * [Tenable Network Security](https://www.tenable.com/) * [Tenzir](https://tenzir.com) * [The DigiTrust Group](https://www.digitrustgroup.com/) * [ThreatConnect](https://www.threatconnect.com/) * [ThreatStream, Inc.](https://www.threatstream.com) * [Thug](https://github.com/buffer/thug) * [Threat.Zone](https://threat.zone) * [TouchWeb](https://www.touchweb.fr) * [Trend Micro](https://www.trendmicro.com) * [UnpacMe](https://www.unpac.me) * [UpSight Security Inc.](https://upsight.ai/) * [Uptycs Inc](https://www.uptycs.com/) * [Veeam](https://www.veeam.com/) * [Verisys Antivirus API](https://www.ionxsolutions.com/products/verisys-virus-api) * [VirusTotal Intelligence](https://www.virustotal.com/intelligence/) * [VMRay](https://www.vmray.com/) * [Volexity](https://www.volexity.com/products-overview/volcano/) * [We Watch Your Website](https://www.wewatchyourwebsite.com/) * [x64dbg](https://x64dbg.com) * [YALIH](https://github.com/Masood-M/YALIH) 您在使用它吗？想在这里看到您的网站吗？

标签：C++, Docker‑Compose, Python, TCP/UDP协议, Web界面, YARA, 二进制分析, 二进制文件分析, 云安全监控, 云安全运维, 云提供商集成, 云计算, 云资产可视化, 云资产清单, 威胁情报, 字符串搜索, 安全工具, 安全测试集成, 客户端加密, 客户端加密, 客户端加密, 客户端加密, 带宽管理, 开发者工具, 开源安全, 恶意软件检测, 持续安全评估, 数据擦除, 无后门, 杀毒软件, 样本分类, 模式匹配, 正则表达式, 漏洞管理平台, 用户界面自定义, 系统运维工具, 网络安全, 自动化资产收集, 规则引擎, 跨平台, 逆向工具, 逆向工程, 速率限制, 隐私保护, 静态分析, 默认DNS解析器