一个python脚本，可用于使用Yara扫描IDB中的数据

yara-python 使用此库，您可以从Python程序中使用 。 它涵盖了YARA的所有功能，从编译，保存和加载规则到扫描文件，字符串和进程。 这里有一个小例子： >> > import yara >> > rule = yara . compile ( source = 'rule foo: bar {strings: $a = "lmn" condition: $a}' ) >> > matches = rule . match ( data = 'abcdefgjiklmnoprstuvwxyz' ) >> > print ( matches ) [ foo ] >> > print ( matches [ 0 ]. rule ) foo >> > print ( matches [ 0 ]. tags ) [ 'bar' ] >> > print ( matches [

Hyara Hyara是在编写Yararule时提供便利的插件。 该插件目前正在进行重大修订！ 指示 开始屏幕和选项 运行Hyara时，它将自身停靠在右侧，将输出窗口停靠在左侧。 指定地址后，按“生成Make按钮以显示指定的十六进制或字符串。 单击Save时，结果将保存在下表中。 如果双击表，则可以清除规则。 Export Yara Rule 导出先前创建的yara规则。 Right Click 您可以选择起始地址或结束地址。 （IDA Pro，刀具） Comment Option 在条件规则旁边注释说明。 Rich Header和imphash 将丰富的标头和哈希混合添加到规则。 String option 此选项提取指定范围内的字符串。 安装 IDA Pro和BinaryNinja pip install -r requirements.txt IDA Pro

计算机病毒分析工具yara

yara-rule-porter yara-rule-porter是用于转换yara规则的软件包。 它从文件或数据库中读取yara规则，对其进行解析并应用一组规范化或转换脚本。 之后，它将再次将规则导出到文件或数据库。 它用Perl编写，并使用Leigh Thompson编写的Yara Parser 。 安装 下载源代码并将其解压缩到您选择的目录中。 没有外部依赖关系（Parse :: YARA已包含在包中）。 用法 usage: bin/dedupe.pl [options] file [dir ...] parses, im- and exports yara rules from different places options: --help this help text --debug show

亚拉经理 一个简单的程序，用于在（sqlite）数据库中管理yara规则集。 托多斯 搜索规则和说明 规则集中的集群规则 强制配置可配置的默认元字段集 实现备份和共享的可能性 安装 pip install yaramanager 特征 腹水（过时） 将您的Yara规则存储在本地数据库中并进行管理。 用法 $ ym Usage: ym [OPTIONS] COMMAND [ARGS]... Options: --help Show this message and exit. Commands: add Add a new rule to the database. config Review and change yaramanager configuration. db Manage your databases del

YARA绩效准则 在为YARA创建规则时，请记住以下准则，以便从中获得最佳性能。 本指南基于Victor M. Alvarez和WXS的想法和建议。 1.5版（2021年2月）适用于所有高于3.7版的YARA版本 基础 为了更好地掌握可以优化YARA性能的性能和性能，了解扫描过程很有用。 它基本上分为四个步骤，将使用以下示例规则对其进行非常简单的说明： import "math" rule example_php_webshell_rule { meta: description = "Just an example php webshell rule" date = "2021/02/16" strings: $php_tag = "<?php" $input1 = "GET" $in

项目 此存储库是存储库的重组，以使确定YARA规则所针对的文件类型更加容易。 以下是原始存储库文本： 该项目满足了一群IT安全研究人员的需要，即拥有一个单一的存储库，在其中可以编译，分类和保持最新的Yara签名，并尽可能地保持最新状态，并开始成为收集Yara规则的开源社区。 我们的Yara规则集受GNU-GPLv2许可，并且对任何用户或组织开放，只要您在此许可下使用它即可。 Yara越来越多地被使用，但是有关该工具及其用法的知识却分散在许多不同的地方。 “ Yara规则”项目旨在通过尽可能完整地收集规则集，从而成为Yara用户的聚会点，从而为用户提供一种使Yara做好使用准备的快速方法。 我们希望该项目对安全社区和所有Yara用户有用，并期待您的反馈。 订阅我们的邮件列表，加入这个社区。 贡献 如果您有兴趣与我们和安全社区共享您的Yara规则，则可以加入我们的邮件列表，向我们的Twi

Open-Source-YARA-rules:我在互联网上遇到的YARA规则

基于二进制代码生成YARA规则