본문 바로가기

어느 한 분야를 전문적으로 연구함. 또는 그 분야./정보를 여러가지 위협으로부터 보호

YARA-Project

YARA는 패턴을 이용하여 악성코드 분류하는데 사용하는 툴이다.

코드는 google에서 관리를 하고, 제작은 virustotal에서 제작하였다.

1. Yara Install

환경 : Linux(BackTrack5 R3)

설치 :

sudo apt-get install libpcre3-dev g++ 
wget http://yara-project.googlecode.com/files/yara-1.6.tar.gz
tar xfz yara-1.6.tar.gz
cd yara-1.6

./configure
make
make check
sudo make install

환경 : Windows

다운로드 : https://code.google.com/p/yara-project/downloads/list

+ 요구하는 python 버전이 필요함

Windows 환경에서 Yara를 사용하려면 Yara-python에 맞게 사용을 해야한다.

import  yara
rules = yara.compile(filepath="yara 룰 파일 주소")
rules.match("대상 파일 주소")

매번 인터프리터로 사용하기 귀찮으면 python 프로그래밍으로 코딩하여 사용하면 된다.

단점은 linux기반에서 options을 사용 할 수 없기 때문에 매우 간단한 결과값만을 보여준다. 이가 싫다면 python 프로그래밍을 연습해야한다.

2. Using Yara

2.1 옵션

2.2 탐지하고자 하는 패턴을 보유한 파일

2.3 rule 설정

2.4 yara 사용

-r 옵션 : 디렉토리를 따라가면서 설정한 경로안의 모든 파일을 분석

-s 옵션 : 패칭된 패턴을 실시간으로 출력

3. Yara Manual

YARA 1.6 Korean User's Manual v3.4.pdf

기존의 영문 매뉴얼 형태를 최대한 비슷하게 만들어본 한국 매뉴얼입니다.

오탈자 수정, 설치방법 추가, 퍼포먼스 가이드 추가, Yara전용 에디터  추가하였습니다.

'어느 한 분야를 전문적으로 연구함. 또는 그 분야. > 정보를 여러가지 위협으로부터 보호' 카테고리의 다른 글

About Java Exploit  (0) 2012.11.20
CVE-2012-4969 분석영상  (0) 2012.11.16
YARA-Project  (1) 2012.11.15
JSDetox  (1) 2012.11.08
멋진 한국의 해커  (2) 2012.11.04
NOP Sled에 대한 고찰  (1) 2012.11.02