前言
Yara是一款根据规则库快速匹配文本或程序或进程的工具,杀毒软件早年查杀软件就靠特征匹配,而这个工具就是匹配器,只要你的规则写的足够强大,他可以找出任何符合规则的目标,也就是规则写得好就没有能逃过查杀的Webshell。
windows编译使用
github源码直接有windows版本
github源码直接有windows版本
使用visual studio 2015打开直接生成即可
使用visual studio 2015打开直接生成即可
Debug目录下生成了yara64.exe
Debug目录下生成了yara64.exe
运行yara
运行yara
调用方式
yara64.exe 参数 规则文件 目标文件或目录
例如
yara64.exe generic_jsp.jar cmd.jsp
yara64.exe generic_jsp.jar cmd.jsp -s
generic_jsp.jar使jspshell的扫描规则。
官方也发布了一些规则
例子
具体参数可通过--help查看
具体参数可通过--help查看
Linux编译使用
我使用的使ubuntu,从github下载源码后
sudo apt-get install automake libtool make gcc
sudo apt-get install flex bison
chmod 777 bootstrap.sh
./bootstrap.sh
chmod 777 configure
./configure
sudo make install
参考:https://yara.readthedocs.io/en/v3.6.0/gettingstarted.html
使用方式跟windows相同这里就不赘述
使用方式跟windows相同这里就不赘述
使用Webshells_index.jar规则扫描下我的jspshell,看下效果还是不错的
使用Webshells_index.jar规则扫描下我的jspshell目录,看下效果还是不错的
