manishrawat21/Yara-Threat-Hunting

## 我的 YARA 威胁狩猎之旅 **使用自定义规则检测恶意软件** *作者：Manish Rawat* ## 🔍 这个仓库背后的故事 我最近探索了 **YARA** 的强大功能，这是一款帮助网络安全专业人员使用基于模式的规则来检测恶意软件的工具。作为实践实验室（TryHackMe 的 *Intro to YARA* 房间）的一部分，我学习了如何编写 YARA 规则、了解不同的狩猎风格，以及扫描真实文件中的恶意软件模式。 这个仓库将记录我的学习历程，分享有用的规则，并鼓励其他人开始尝试使用 YARA。 ## ✨ 我做了什么 - 🧪 **编写了我的第一条 YARA 规则**，使用类似 `"THM{}"` 的字符串模式来检测文件中的隐藏标志。 - 🔍 构建了需要**多个字符串同时存在**的规则（例如 "Yet another"、"Ridiculous acronym"）。 - 📁 通过 PowerShell 在真实文件夹中运行 YARA，发现了**嵌入标志的恶意软件类文件**。 - 🔐 了解了**误报**、字符串匹配类型，以及如何调整规则以提高准确性。 ## 🚀 关键要点 - YARA 就像一个强大的恶意软件模式搜索引擎。 - 你可以基于已知字符串编写简单规则，并扫描整个目录以查找匹配的文件。 - 威胁狩猎并不总是需要 SIEM——像 YARA 这样的工具使其**对学习者和独立防御者**更加易于使用。 ## 🛠 使用的工具 - [YARA](https://github.com/VirusTotal/yara)（模式匹配引擎） - PowerShell（在 Windows 上运行规则） - TryHackMe 实验室（*YARA 入门*） - 用于安全检测的真实恶意软件模拟 ## 📖 阅读我的博客 想全面了解 YARA 的工作原理以及我如何逐步进行威胁狩猎吗？ 👉 [在这里阅读博客](https://medium.com/@maxxrawat007/from-clueless-to-clued-in-how-yara-helps-you-hunt-malware-like-a-pro-d8076c681fe1?source=friends_link&sk=d705e36439b8e580fec5b0ae2945a824) ## 💼 寻求远程工作机会 我目前对网络安全领域的**远程机会**持开放态度，特别是以下角色： - 威胁狩猎 - 检测工程 - SOC 与蓝队 - 恶意软件分析 欢迎联系或交流！ 感谢阅读，保持好奇心！🚀

标签：AI合规, DAST, IPv6, PowerShell, TryHackMe, YARA, 云资产可视化, 入门教程, 实践练习, 恶意软件分析, 恶意软件识别, 文件扫描, 模式匹配, 网络安全, 网页爬虫, 自动化资产收集, 自定义DNS解析器, 规则编写, 规则调优, 误报处理, 防御性安全, 隐私保护, 默认DNS解析器