Le regole Yara non funzionano in debian [chiuso]

Question

Le regole Yara non funzionano in debian [chiuso]

#1 da (0 voti)

1

Le regole di Yara funzionano perfettamente su Windows 7. Sono in grado di eseguire la scansione e rilevare i comandi dannosi nei file malware .exe, ma quando eseguo lo stesso programma in debian v8.6, non è in grado di rilevare comandi dannosi in .exe. Quando eseguo la stessa regola su un file .txt, funziona.

Non capisco quale sia il problema.

Regola Yara:

rule isThis_Suspicious
{
    strings:
        $a = "CHAN"
        $b = "JOIN"
        $c = "arun"
    condition:
        1 of them
}

Output su debian v8.6:

root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt test.txt
isThis_Suspicious test.txt
0x5:$c: arun
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt  srvcp.exe

yara con -n

root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt test.txt
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe

Perché non corrisponde alla regola in debian ma la stessa regola funziona su Windows.

output su windows 7:

D:\yara>yara64.exe rule2.txt test.txt
isThis_Suspicious test.txt

D:\yara>yara64.exe rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe

tools malware yara

posta Arun Pratap Singh 17.01.2018 - 18:37

fonte

1 risposta

Leggi altre domande sui tag tools malware yara

Blocco dei pacchetti EAPOL [chiuso] Esegui gli script delle risorse della console metasploit

score 0 · Accepted Answer

Yara dovrebbe avere lo stesso comportamento su tutte le piattaforme. Come è stato rilevato nei commenti, è importante assicurarsi che i file e i target delle regole siano gli stessi su entrambi i sistemi (confrontando dimensioni, sha1sum e così via). È possibile che i trasferimenti di file / le copie vengano interrotti, causando il danneggiamento o il troncamento dei file che si traduce in partite YARA incomplete.