Las reglas de Yara no funcionan en debian [cerrado]

Question

Las reglas de Yara no funcionan en debian [cerrado]

#1 de David (0 votos)

1

Las reglas de Yara están funcionando perfectamente en Windows 7. Soy capaz de escanear y detectar comandos maliciosos en archivos de malware .exe, pero cuando ejecuto el mismo programa en Debian v8.6, no puedo detectar comandos maliciosos en .exe. Cuando ejecuto la misma regla en un archivo .txt, funciona.

No entiendo cuál es el problema.

Regla de Yara:

rule isThis_Suspicious
{
    strings:
        $a = "CHAN"
        $b = "JOIN"
        $c = "arun"
    condition:
        1 of them
}

Salida en debian v8.6:

root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt test.txt
isThis_Suspicious test.txt
0x5:$c: arun
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -s rule2.txt  srvcp.exe

yara con -n

root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt test.txt
root@debian:/Thwart/yaraCmd/yara-3.7.1# yara -n rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe

Por qué no coincide con la regla en debian, pero la misma regla funciona en windows.

salida en Windows 7:

D:\yara>yara64.exe rule2.txt test.txt
isThis_Suspicious test.txt

D:\yara>yara64.exe rule2.txt srvcp.exe
isThis_Suspicious srvcp.exe

tools malware yara

pregunta Arun Pratap Singh 17.01.2018 - 18:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas tools malware yara

Necesita crear un entorno de entrevista para un candidato de ingeniero de seguridad Ejecutar scripts de recursos de consola metasploit

score 0 · Accepted Answer

Yara debería tener el mismo comportamiento en todas las plataformas. Como se descubrió en los comentarios, es importante asegurarse de que los archivos de reglas y los objetivos sean los mismos en ambos sistemas (comparando tamaños, sha1sums, etc.). Es posible que las transferencias / copias de archivos se interrumpan, lo que lleva a la corrupción del archivo o al truncamiento que resulta en coincidencias incompletas de YARA.