久久精-久久经典视频-久久加久久-久久极品视频-一区二区福利视频-一区二区不卡在线观看

　　惡意代碼檢測分析工具是一款非常專業(yè)的代碼檢測軟件。通過這款惡意代碼檢測分析工具，就能幫助用戶隨意進行代碼安全檢測，讓你日常放心進行編程使用。

檢測平臺：

　　YARA支持多平臺，可以運行在Windows、Linux、Mac OS X，并通過命令行界面或yara-python擴展的Python腳本使用。

功能介紹：

　　垃圾郵件分析

　　讓我們看一下垃圾郵件分析的應(yīng)用場景。如果你的團隊需要在事件響應(yīng)過程中分析可疑的郵件消息，你極有可能會發(fā)現(xiàn)攜帶惡意宏的文件或重定向至漏洞利用工具的站點。olevba.py是一款流行的分析可疑微軟office文檔的工具，它屬于oletools工具包的一部分。當(dāng)分析嵌入的OLE對象來識別惡意活動時，它會使用YARA功能（更多內(nèi)容可參看）。在應(yīng)對漏洞利用工具時，thug一款流行的低交互式蜜罐客戶端，模擬成web瀏覽器，也會使用YARA來識別漏洞利用工具家族。在上述兩種場景中，事件響應(yīng)團隊之間交換YARA規(guī)則可以大大增強垃圾郵件的分類和分析的能力。

　　取證分析

　　另一種值得一提的應(yīng)用場景是取證。Volatility一款非常流行的內(nèi)存取證工具，可以支持YARA掃描來查明可疑的對象，比如進程、文件、注冊表鍵值或互斥體（mutex）。相對于靜態(tài)文件的規(guī)則，因為它需要應(yīng)對加殼器和加密器，分析內(nèi)存對象的YARA規(guī)則通常可以獲得更廣的觀察范圍。在網(wǎng)絡(luò)取證領(lǐng)域，yaraPcap使用YARA掃描網(wǎng)絡(luò)數(shù)據(jù)包文件（PCAP）。類似于垃圾郵件分析的應(yīng)用場景，使用YARA規(guī)則進行取證可以起到事半功倍的作用。

　　終端掃描

　　最終，還有值得留意的應(yīng)用場景是端點掃描。不錯，在客戶端計算機上進行YARA掃描。由于YARA掃描引擎是跨平臺的，我們完全可以在Windows系統(tǒng)上使用Linux系統(tǒng)上開發(fā)的特征規(guī)則。唯一需要解決的問題是如何分發(fā)掃描引擎，下發(fā)規(guī)則，以及將掃描結(jié)果發(fā)送到某個中心位置。Hipara，一款C語言開發(fā)的主機入侵防御系統(tǒng)，可以實現(xiàn)基于YARA規(guī)則文件的實時掃描，并將報告結(jié)果發(fā)回到某個中心服務(wù)器。另一種解決方案是自己編寫python腳本來調(diào)用YARA模塊，同時使用REST庫實現(xiàn)推拉（pull/push）的操作。

使用方法：

　　

　　1、環(huán)境準(zhǔn)備

　　在實戰(zhàn)之前，我們需要一個Linux系統(tǒng)環(huán)境和下列工具：

　　需要用到：pescanner.py

　　此外你需要一個段惡意代碼來分析，你可以從Malwr.com網(wǎng)站上獲取樣本：

　　警告：樣本是一個真實的惡意軟件，確保分析是在可控、隔離和安全環(huán)境中進行，比如臨時性的虛擬機。

　　2、場景模擬

　　在周三下午4點，你的郵箱接受到一份事件報告的通知郵件。它似乎是一個可疑的HTTP文件下載（文件哈希值為f38b0f94694ae861175436fcb3981061）命中了網(wǎng)絡(luò)IPS的特征庫。你迅速檢查IPS報警的詳情，查看它是否把樣本存入待深入分析的臨時倉庫中。你可以發(fā)現(xiàn)文件已被成功的保存下來，且文件類型是PE（可執(zhí)行文件），絕對值得一看。下載文件之后，你需要進行初始的靜態(tài)分析：利用Google和Virustotal查詢這個哈希值，分析PE文件頭來尋找惡意的企圖。

　　3、挑戰(zhàn)

　　創(chuàng)建匹配下述條件的YARA規(guī)則：

　　1. 與調(diào)試信息相關(guān)的可疑字符串

　　2. text區(qū)塊的MD5哈希值

　　3. 高熵值的。rsrc區(qū)塊

　　4. GetTickCount導(dǎo)入符號

　　5. Rich簽名的XOR密鑰

　　6. 必須是Windows可執(zhí)行文件

標(biāo)簽： 代碼檢測 代碼分析