看我如何使用yara扫描webshell-看我如何使用yara扫描webshell-华盟网

看我如何使用yara扫描webshell

华盟学院山东省第二期线下学习计划

前言

Yara是一款根据规则库快速匹配文本或程序或进程的工具,杀毒软件早年查杀软件就靠特征匹配,而这个工具就是匹配器,只要你的规则写的足够强大,他可以找出任何符合规则的目标,也就是规则写得好就没有能逃过查杀的Webshell。

github

       https://github.com/VirusTotal/yara

windows编译使用

github源码直接有windows版本

看我如何使用yara扫描webshell

  使用visual studio 2015打开直接生成即可

看我如何使用yara扫描webshell

Debug目录下生成了yara64.exe

看我如何使用yara扫描webshell

运行yara

看我如何使用yara扫描webshell

调用方式

yara64.exe 参数 规则文件 目标文件或目录
例如
yara64.exe generic_jsp.jar cmd.jsp
yara64.exe generic_jsp.jar cmd.jsp -s

generic_jsp.jar使jspshell的扫描规则。

官方也发布了一些规则

https://github.com/Yara-Rules/rules

看我如何使用yara扫描webshell

具体参数可通过–help查看

看我如何使用yara扫描webshell

Linux编译使用

我使用的使ubuntu,从github下载源码后

sudo apt-get install automake libtool make gcc

sudo apt-get install flex bison

chmod 777 bootstrap.sh

./bootstrap.sh

chmod 777 configure

./configure

sudo make install

参考:https://yara.readthedocs.io/en/v3.6.0/gettingstarted.html

使用方式跟windows相同这里就不赘述

看我如何使用yara扫描webshell

使用Webshells_index.jar规则扫描下我的jspshell,看下效果还是不错的

看我如何使用yara扫描webshell

原文链接:http://kongdewei.cn/2017/10/13/看我如何使用yara扫描webshell/?from=singlemessage&isappinstalled=0

文章来源:草莓的博客

本文由 华盟网 作者:karl456789 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
1

发表评论