亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何使用基于YARA規則的入侵威脅指標IoC掃描工具Spyre

發布時間:2021-12-04 10:00:04 來源:億速云 閱讀:294 作者:柒染 欄目:網絡管理

這篇文章給大家介紹如何使用基于YARA規則的入侵威脅指標IoC掃描工具Spyre,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

Spyre

Spyre是一款功能強大的基于主機的IoC掃描工具,該工具基于YARA模式匹配引擎和其他掃描模塊構建。其主要功能是簡化YARA規則的操作,并幫助廣大研究人員更好地實現入侵威脅指標IoC的掃描。

在使用Spyre時,我們需要提供自己的YARA規則集,關于YARA規則,廣大研究人員可以參考awesome-yara庫所提供的免費YARA規則集。

廣大研究人員可以將Spyre當作一款事件響應與調查工具來使用,不過該工具并不能給終端設備提供任何的保護服務。

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

git clone https://github.com/spyre-project/spyre.git

代碼構建

Spyre支持在32位和64位的Linux以及Windows平臺上運行。

Debian Buster(10.x)及更新版本

在Debian/Buster系統上,首先需要安裝和配置好下列工具組件包:

make

gcc

gcc-multilib

gcc-mingw-w64

autoconf

automake

libtool

pkg-config

wget

patch

sed

golang-$VERSION-go

git-core

ca-certificates

zip

上述即為該工具的構建環境要求,之后可以使用命令行接口進行源碼構建。

Fedora 30及更新版本

在Fedora系統上進行源碼構建,首先需要安裝配置好下列工具組件包:

make

gcc

mingw{32,64}-gcc

mingw{32,64}-winpthreads-static

autoconf

automake

libtool

pkgconf-pkg-config

wget

patch

sed

golang

git-core

ca-certificates

zip

安裝配置好上述工具組件包之后,我們就可以使用make命令進行代碼構建了。此時將下載musl-libc、openssl和yara,構建好之后就可以構建Spyre了。

構建好的Spyre代碼將創建在“_build/<triplet>/”。

運行下列命令之后,工具將創建一個包含支持所有操作系統架構源碼的ZIP文件:

make release

工具配置

我們可以通過命令行參數或params.txt文件來傳遞Spyre工具的運行時參數,參數的每一行以#字符開頭的規則都將被忽略。

通常情況下(除非啟用此選項),Spyre會指示OS調度器降低CPU時間和I/O操作的優先級,以避免中斷正常的系統操作:

--high-priority

在報告中顯式地在該文件中設置主機名:

--set-hostname=NAME

設置日志等級,可用選項有trace、debug、info、notice、warn、error、quiet:

--report=SPEC

設置一個或多個待掃描的文件系統路徑:

--path=PATHLIST

設置待掃描文件的YARA規則文件列表:

--yara-proc-rules=FILELIST

設置待掃描進程內存空間的YARA規則文件列表:

--yara-proc-rules=FILELIST

使用YARA設置要掃描的文件的最大大小:

--ioc-file=FILE

設置不需要掃描的進程名稱:

--proc-ignore=NAMELIST

工具使用

Spyre的使用非常簡單,首先添加YARA簽名,用于文件掃描的YARA規則需要從filescan.yar中讀取,procscan.yar則對應的是進程內存掃描規則。下列選項支持向Spyre提供規則文件:

1、將規則文件添加至ZIP文件,并將文件添加至代碼中。

2、將規則文件添加至$PROGRAM.zip這個ZIP文件中,如果是通過spyre或spyre.exe調用的Spyre代碼,則使用的是spyre.zip。

3、將規則文件放至源碼所在的相同目錄。

ZIP文件內容將使用密碼“infected”進行加密,以防止反病毒產品破壞規則集并影響掃描結果。

YARA規則文件中將包含include語句。

部署完成之后,即可運行掃描器。掃描完成后,工具將生成收集到的報告結果。

關于YARA規則

YARA使用了默認設置進行配置,并且支持通過下列選項進行切換:

--disable-magic

--disable-cuckoo

--enable-dotnet

--enable-macho

--enable-dex

許可證協議

本項目的開發與發布遵循GNU開源許可證協議。

關于如何使用基于YARA規則的入侵威脅指標IoC掃描工具Spyre就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

任丘市| 江源县| 莎车县| 连江县| 惠安县| 高安市| 奉化市| 淮安市| 德惠市| 丰原市| 北流市| 绥芬河市| 自贡市| 崇仁县| 渭源县| 江都市| 绥德县| 建湖县| 海南省| 永德县| 南江县| 和田市| 怀柔区| 文昌市| 财经| 西吉县| 建始县| 德保县| 宜宾县| 奉节县| 布尔津县| 洞头县| 永年县| 裕民县| 石景山区| 南宫市| 石棉县| 夏津县| 祁门县| 腾冲县| 泰州市|