-
-
[分享] 一个基于 YARA 的内存/文件扫描器
-
发表于: 2025-7-24 16:56
-
目前只支持 Windows,建议管理员权限运行。
基于 YARA 库的,编译之后无法将 libcrypto-3-x64.dll 打包进程序,因此用 Enigma Virtual Box 打包了一下。
本来考虑内置规则的,但是一般情况下规则都不是固定的,因此没内置。
文件扫描的规则资料直接参考 yara 官网。
自己编写内存扫描的规则的时候,可以用 010Editor 这种十六进制工具将进程内存 dump 出来之后找特征。
用法如下:
-p, --path
-r, --rules <rules.yar> Path to YARA rule file or directory
--pid <pid1,pid2,...> One or more PIDs to scan (comma-separated)
--all-processes Scan all running processes
-h, --help Show this help message
示例:
- yaraScanner --pid 1234 -r rules.yar
- yaraScanner --all-processes -r ./myrules/
- yaraScanner -p C:\FilesToScan --rules rules_dir
默认打印帮助信息:
win10 运行:
win7 SP1 运行:
不支持 XP
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
|
|
|---|---|
|
|
|
