首發(fā):看我如何使用yara掃描webshell
前言
Yara是一款根據(jù)規(guī)則庫快速匹配文本或程序或進(jìn)程的工具蹬碧,殺毒軟件早年查殺軟件就靠特征匹配提揍,而這個(gè)工具就是匹配器敢靡,只要你的規(guī)則寫的足夠強(qiáng)大,他可以找出任何符合規(guī)則的目標(biāo)馒索,也就是規(guī)則寫得好就沒有能逃過查殺的Webshell。
windows編譯使用
github源碼直接有windows版本
使用visual studio 2015打開直接生成即可
Debug目錄下生成了yara64.exe
運(yùn)行yara
調(diào)用方式
yara64.exe 參數(shù) 規(guī)則文件 目標(biāo)文件或目錄
例如
yara64.exe generic_jsp.jar cmd.jsp
yara64.exe generic_jsp.jar cmd.jsp -s
generic_jsp.jar使jspshell的掃描規(guī)則名船。
官方也發(fā)布了一些規(guī)則
具體參數(shù)可通過--help查看
Linux編譯使用
我使用的使ubuntu,從github下載源碼后
sudo apt-get install automake libtool make gcc
sudo apt-get install flex bison
chmod 777 bootstrap.sh
./bootstrap.sh
chmod 777 configure
./configure
sudo make install
參考:https://yara.readthedocs.io/en/v3.6.0/gettingstarted.html
使用方式跟windows相同這里就不贅述
使用Webshells_index.jar規(guī)則掃描下我的jspshell绰上,看下效果還是不錯(cuò)的
