记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

构建识别恶意软件Autopsy python yara扫描模块

2015-11-02 22:45

YARA是一款用于识别恶意软件的优秀工具,你可以自己编写规则,也可以借助预制的规则yararules。我需要一个快速的方法用以搜索一些磁盘映像,因此是时候构建一个Autopsy python yara扫描模块了。

1.前期准备

需要删除Autopsy Python Module文件夹下的YARA可执行文件,同时我创建了一个集中的YARA规则文件,包括"rules-master\antidebug.yar"语句。

如果你想使用其他的存储地址,可以在代码的这两行进行修改。

2.创建YARA Scan模块

YARA Scan的目标是啥?本例中%.doc用来搜索word文档,这里没有相关路径,因此我们将其设置值为%。

如果你是想在一个临时文件夹中搜寻可执行文件,你可以像下面例子中这样修改。通过Hash分析,所有文件都会被标记为KNOWN,因此就能从YARA Scan中排除。

files = fileManager.findFiles(dataSource, “%.exe”, “%temp%”)

这两行可以使用#注释掉,这第一行是从临时文件夹输出文件,第二行是运行YARA scan对文件进行扫描,Windows Defender同时也会对该文件进行检测。

该模块每次运行都会覆盖YARA.txt,该文件位于Reports文件夹中。你需要根据每次搜索请求的改变更新该文件的名称。

一旦YARA Scan模块完成,Autopsy会弹出一个显示文件扫描数量的对话框。

在Reports文件夹下,生成的文本文档会进行关联,所以你只需要双击就可以审查结果了。第一行为YARA的结果并显示文件位置。

希望本文对你搜集数据能够有一定的帮助!

* 参考来源:4n6ir,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


知识来源: www.freebuf.com/tools/83531.html

阅读:132768 | 评论:0 | 标签:工具 YARA 扫描

想收藏或者和大家分享这篇好文章→复制链接地址

“构建识别恶意软件Autopsy python yara扫描模块”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云