Yaralyzer:一款功能强大的YARA与正则式检查解析工具
2023-3-21 19:14:43 Author: FreeBuf(查看原文) 阅读量:12 收藏

 关于Yaralyzer 

Yaralyzer一款功能强大的YARA与正则式检查解析工具,该工具可以允许广大研究人员以可视化的形式检查并强制解码二进制数据和文本数据中的YARA以及正则表达式,同时提供颜色高亮显示输出。

 功能介绍 

1、查看你的YARA规则匹配了哪些字节数据;

2、对字节模式和正则表达式执行同样的操作,而无需编写YARA文件;

3、检测每组匹配到的字节的可能编码;

4、支持查看对匹配区域强制执行各种字符编码的结果;

5、支持将匹配的区域/编码导出为SVG、HTML和带颜色高亮显示的文本文件;

 工具安装 

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,我们可以使用pipx来安装Yaralyzer:

pipx install yaralyzer

除此之外,广大研究人员也可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/michelcrypt4d4mus/yaralyzer.git

(向右滑动,查看更多)

 工具使用 

运行yaralyze -h之后,即可查看工具的命令行参数选项:

以代码库使用

Yaralyzer作为main类,提供了下列构造器:

1、预编译YARA规则;

2、从字符串创建YARA规则;

3、从文件加载YARA规则;

4、从目录中所有的.yara文件加载YARA规则;

5、扫描字节数据;

6、扫描文件;

使用样例如下:

from yaralyzer.yaralyzer import Yaralyzer yaralyzer = Yaralyzer.for_rules_files(['/secret/rule.yara'], 'lacan_buys_the_dip.pdf')for bytes_match, bytes_decoder in yaralyzer.match_iterator():do_stuff()

(向右滑动,查看更多)

 工具输出样例 

YARA匹配结果:

显示十六进制、原始Python字符串和匹配数据尝试解码结果:

 许可证协议 

本项目的开发与发布遵循GPL-3.0开源许可证协议。

 项目地址 

Yaralyzer

https://github.com/michelcrypt4d4mus/yaralyzer

参考资料:

https://github.com/chardet/chardet

https://pypa.github.io/pipx/

https://github.com/michelcrypt4d4mus/pdfalyzer

https://github.com/Textualize/rich

https://inkscape.org/

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651220298&idx=4&sn=91ad6cff9b7595b836dab88e7c5cfcf5&chksm=bd1dfbc18a6a72d7188b3914aae85f28612b9214e9d4561025687fd8f5fbe1f66e1c2d8b2fef#rd
如有侵权请联系:admin#unsafe.sh