최신 안정적인 릴리스에 대한 소스 코드 .tar.gz를 다운로드합니다. 플랫폼에 대한 파일을 다운로드합니다. 선택할 수 있는 것이 확실하지 않은 경우 패키지 설치에 대해 자세히 알아보세요. YARA에 대한 자세한 내용은 공식 웹 사이트를 방문하십시오 : http://virustotal.github.io/yara/. 바이러스토탈의 수신 제출에 Yara를 사용하여 심층 연구를 위해 맬웨어 패밀리를 식별하려는 경우 VirusTotal 헌팅에 대해 자세히 알아볼 수 있습니다. 소스 타볼을 다운로드하고 컴파일 준비하십시오 : 파이썬 스크립트에서 YARA를 사용하려는 경우 yara-python 확장을 설치해야합니다. 설치 방법에 대한 자세한 내용은 https://github.com/VirusTotal/yara-python 참조하십시오. 오픈 소스 Radare 프레임 워크는 GNU GPL 라이센스에 따라 IDA (그리고 몇 가지 더)의 동일한 기능을 무료로 제공합니다. 라다레는 현재 디콤프리를 가지고 있지 않습니다. YARA는 Windows, Linux 및 Mac OS X에서 실행되는 멀티 플랫폼이며 명령줄 인터페이스또는 yara-python 확장을 사용하는 자체 파이썬 스크립트에서 사용할 수 있습니다.

. 그 이름에서 알 수 있듯이, YARA GUI는 간단하고 위협적이지 않은 사용자 인터페이스를 둘러싸고 있는 YARA의 모든 기능을 제공하는 경량 도구입니다. . 다음은 500KB이상의 모든 파일과 일치하는 약간 더 유용한 예입니다. VCPkg의 YARA 포트는 Microsoft 팀 구성원과 커뮤니티 참여자가 최신 상태로 유지됩니다. 버전이 최신 버전이 아니면 vcpkg 리포지토리에 문제를 만들거나 요청을 당기십시오. 당신은 초기에 yara yarafile.yara -r / 루트 / 폴더 이름을 사용해야합니다 2019, NSA는 Ghidra라는 오픈 소스 소프트웨어 리버스 엔지니어링 (SRE) 제품군을 발표했다. 그것은 디콤프리를 포함하고, IDA에 매우 시밀러 느낌. 그러나 당신은 또한 GitHub에서 소스를 얻고 직접 컴파일 할 수 있습니다 : 당신은 나에게 빠른 메일을 보낼 수 있습니다, 나는 chuckoo 샌드 박스에 관한 질문이 있습니다. YARA 규칙의 문자열 섹션은 문자열, 바이트 및 정규식의 조합으로 구성될 수 있습니다. 대부분의 YARA 규칙은 전적으로 문자열로 구성됩니다.

이러한 종류의 규칙은 비교적 작성하기 쉽지만 향후 빌드에서 검색을 피하기 위해 맬웨어 작성자가 문자열을 변경하거나 모호하게 하는 것도 매우 쉽습니다. 샘플에 사용 가능한 문자열이 거의 없거나 없는 경우 해당 샘플이 압축되었을 수 있으므로 런타임에 문자열이 빌드되거나 디코딩됩니다. YARA는 프로세스를 스캔할 수 있으며 문자열에 대한 활성 메모리를 스캔하는 것이 더 좋지만 미사용 샘플을 식별하는 것이 목표라면 도움이 되지 않습니다. ascii, 와이드 및 nocase 키워드는 YARA에게 ASCII 및 와이드 문자열을 검색하고 대/소문자를 구분하지 말라고 말합니다. 기본적으로 하위 문자열을 포함하여 ASCII 문자열만 검색하며 대/소문자를 구분합니다. 다른 종류의 문자열을 일치시키는 더 많은 키워드가 있습니다.

Comments are closed.