构建识别恶意软件Autopsy?python?yara扫描模块

pasckr

---

   
　　YARA是一款用于识别恶意软件的优秀工具，你可以自己编写规则，也可以借助预制的规则 yararules。我需要一个快速的方法用以搜索一些磁盘映像，因此是时候构建一个Autopsy python yara扫描模块了。
　　1.前期准备
　　需要删除Autopsy Python Module文件夹下的YARA可执行文件，同时我创建了一个集中的YARA规则文件，包括"rules-master\antidebug.yar"语句。

　　如果你想使用其他的存储地址，可以在代码的这两行进行修改。


　　2.创建YARA Scan模块
　　YARA Scan的目标是啥？本例中%.doc用来搜索word文档，这里没有相关路径，因此我们将其设置值为%。

　　如果你是想在一个临时文件夹中搜寻可执行文件，你可以像下面例子中这样修改。通过Hash分析，所有文件都会被标记为KNOWN，因此就能从YARA Scan中排除。
files = fileManager.findFiles(dataSource, “%.exe”, “%temp%”)
　　这两行可以使用#注释掉，这第一行是从临时文件夹输出文件，第二行是运行YARA scan对文件进行扫描，Windows Defender同时也会对该文件进行检测。

　　该模块每次运行都会覆盖YARA.txt，该文件位于Reports文件夹中。你需要根据每次搜索请求的改变更新该文件的名称。

　　一旦YARA Scan模块完成，Autopsy会弹出一个显示文件扫描数量的对话框。

　　在Reports文件夹下，生成的文本文档会进行关联，所以你只需要双击就可以审查结果了。第一行为YARA的结果并显示文件位置。

　　希望本文对你搜集数据能够有一定的帮助！
　　* 参考来源：4n6ir，编译/FB小编鸢尾，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）
收藏该文
鸢尾117篇文章等级：7级  
醉人