2.1 옵션
2.2 탐지하고자 하는 패턴을 보유한 파일
2.3 rule 설정
2.4 yara 사용

YARA는 패턴을 이용하여 악성코드 분류하는데 사용하는 툴이다.

코드는 google에서 관리를 하고, 제작은 virustotal에서 제작하였다.

1. Yara Install

환경 : Linux(BackTrack5 R3)

설치 :

sudo apt-get install libpcre3-dev g++ 
wget http://yara-project.googlecode.com/files/yara-1.6.tar.gz
tar xfz yara-1.6.tar.gz
cd yara-1.6


./configure
make
make check
sudo make install

환경 : Windows

다운로드 : https://code.google.com/p/yara-project/downloads/list

+ 요구하는 python 버전이 필요함

Windows 환경에서 Yara를 사용하려면 Yara-python에 맞게 사용을 해야한다.

import  yara
rules = yara.compile(filepath="yara 룰 파일 주소")
rules.match("대상 파일 주소")

매번 인터프리터로 사용하기 귀찮으면 python 프로그래밍으로 코딩하여 사용하면 된다.

단점은 linux기반에서 options을 사용 할 수 없기 때문에 매우 간단한 결과값만을 보여준다. 이가 싫다면 python 프로그래밍을 연습해야한다.

2. Using Yara

2.1 옵션

2.2 탐지하고자 하는 패턴을 보유한 파일

2.3 rule 설정

2.4 yara 사용

-r 옵션 : 디렉토리를 따라가면서 설정한 경로안의 모든 파일을 분석

-s 옵션 : 패칭된 패턴을 실시간으로 출력

3. Yara Manual

YARA 1.6 Korean User's Manual v3.4.pdf

기존의 영문 매뉴얼 형태를 최대한 비슷하게 만들어본 한국 매뉴얼입니다.

오탈자 수정, 설치방법 추가, 퍼포먼스 가이드 추가, Yara전용 에디터 추가하였습니다.

저작자표시 비영리 동일조건

'Information Security > OpenSource' 카테고리의 다른 글

Pygoogle.py (1)	2013.01.10
GeoIP + Matploitlib (1)	2013.01.03
thug (1)	2013.01.02
Phoneyc (1)	2012.12.18
JSDetox (1)	2012.11.08

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

YARA-Project

1. Yara Install

2. Using Yara

2.1 옵션

2.2 탐지하고자 하는 패턴을 보유한 파일

2.3 rule 설정

2.4 yara 사용

3. Yara Manual

'Information Security > OpenSource' 카테고리의 다른 글

1. Yara Install

2. Using Yara

2.1 옵션

2.2 탐지하고자 하는 패턴을 보유한 파일

2.3 rule 설정

2.4 yara 사용

3. Yara Manual

'Information Security > OpenSource' 카테고리의 다른 글

티스토리툴바

개인정보

단축키

내 블로그

블로그 게시글

모든 영역