开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

YARA的Go绑定不返回任何匹配

YARA是一种强大的模式匹配工具，用于在二进制文件、文本文件和内存中查找特定的模式。它可以用于恶意软件分析、威胁情报、漏洞研究等领域。

YARA的Go绑定是一个用于在Go语言中使用YARA的库。它提供了与YARA C库的交互，使开发人员能够在Go语言中使用YARA的功能。

然而，如果YARA的Go绑定不返回任何匹配，可能有以下几个可能的原因：

模式匹配问题：YARA的模式匹配是基于规则的，如果规则中的模式不正确或不完整，可能导致没有匹配结果。建议检查规则中的模式是否正确，并确保它们与要匹配的内容相匹配。
数据源问题：YARA的Go绑定需要提供要匹配的数据源，例如文件或内存中的数据。如果数据源不正确或不可访问，可能导致没有匹配结果。建议检查数据源是否正确，并确保它们可以被正确地读取。
YARA版本问题：YARA的Go绑定可能与特定版本的YARA库不兼容。建议检查YARA的Go绑定和YARA库的版本是否匹配，并尝试使用兼容的版本。

对于YARA的Go绑定不返回任何匹配的问题，腾讯云没有提供直接相关的产品或产品介绍链接地址。但腾讯云提供了丰富的云计算服务，包括云服务器、云数据库、云存储等，可以帮助开发人员构建和部署云原生应用、进行网络通信和安全等方面的需求。您可以访问腾讯云官方网站（https://cloud.tencent.com/）了解更多关于腾讯云的产品和服务。

相关搜索:getOptionChain()不返回R中的任何数据 go中包含的库的类型不匹配 Go中的uint32和bool类型不匹配 PHP和Go中的hmac散列不匹配 Python的recvfrom()函数不返回任何数据 React.js中的匹配始终不返回任何内容 Sed的"+“量词似乎不匹配任何内容不返回任何内容的递归函数不返回任何结果的简单Postgres查询不返回任何资源的函数列表

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Go: 命名返回值的使用, return携带还是不携带？

在Go语言中，命名返回值提供了一种声明函数返回值的方式，它可以增加代码的可读性和灵活性。但是，在使用命名返回值时，return语句是否应该明确携带返回值，是一个常见的困惑。...不带命名返回值的return 或者，你可以省略return语句中的返回值，让Go自动返回命名返回值的当前值： func sum(a, b int) (result int) { result = a...建议做法对于简单的函数，可以考虑省略return语句中的返回值，使代码更精简。对于复杂的函数或重要的库，可能更适合明确指定返回值，以增加代码的可读性和可维护性。...总结命名返回值在Go语言中是一个强大的工具，但如何使用它没有固定的规则。选择是否在return语句中携带返回值取决于多个因素，包括代码的复杂性、团队的编程风格以及可读性和可维护性的需求。...最终的建议是，无论选择哪种方式，都应该追求代码的清晰、一致和有良好的文档支持。希望这篇文章能帮助你解决关于Go语言中命名返回值使用的困惑。

2513 0

如何使用FastFinder快速搜索可疑文件

该工具主要侧重于终端枚举以及基于各种标准的可疑文件查找： 1、文件路径/名称 2、MD5/SHA1/SHA256校验和 3、简单的字符串内容匹配 4、基于YARA规则的复杂内容匹配条件 FastFinder...工具安装 FastFinder可以在Linux平台上完美运行，跟其他Go语言程序不同的是，如果我们需要使用源码编译和运行的话，则需要安装一些库和编译工具。...FastFinder依赖于libyara、go-yara和CGO实现其功能。...工具要求 1、Go >= 1.17 2、正确配置GOPATH / GOOS / GOARCH 3、管理员权限编译YARA 首先，我们需要下载YARA最新版发布源码：【下载地址】。...FastFinder了： go build -tags yara_static -a -ldflags '-s -w' .

6682 0

yara匹配引擎进阶语法指南

前言具备检测相关经验的同学可能都对yara匹配引擎比较熟悉了，看雪论坛上也有非常详细的翻译文章 - 编写Yara规则检测恶意软件本文主要对yara文档容易被忽略的部分进行了翻译和总结，并且给出一些进阶用法的例子...，提高对yara匹配引擎语法的理解程度。...参考文档：** https://yara.readthedocs.io/en/v4.2.3/writingrules.html 匹配字符串 yara的匹配字符串可以使用一些修饰符，总结下来有如下部分：...#a) : ( @a[i] < 100 ) 迭代器在 YARA 4.0 中，for..of运算符得到了改进，现在它不仅可以用于迭代整数枚举和范围（例如：1,2,3,4 和 1..4），还可以用于任何类型的可迭代数据类型...它们还可以与“matches运算符一起使用，如果字符串与给定的正则表达式匹配，则返回true。

1.2K2 0

Spyre：一款基于YARA规则的入侵威胁指标IoC扫描工具

Spyre Spyre是一款功能强大的基于主机的IoC扫描工具，该工具基于YARA模式匹配引擎和其他扫描模块构建。...在使用Spyre时，我们需要提供自己的YARA规则集，关于YARA规则，广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。...广大研究人员可以将Spyre当作一款事件响应与调查工具来使用，不过该工具并不能给终端设备提供任何的保护服务。...gcc gcc-multilib gcc-mingw-w64 autoconf automake libtool pkg-config wget patch sed golang-$VERSION-go...设置待扫描文件的YARA规则文件列表： --yara-proc-rules=FILELIST 设置待扫描进程内存空间的YARA规则文件列表： --yara-proc-rules=FILELIST 使用

6611 0

如何将Pastebin上的信息应用于安全分析和威胁情报领域

tl;dr 使用Yara规则从pastebin中查找和保存有趣的数据：https://github.com/kevthehermit/PasteHunter 很多黑客团队都喜欢把自己的攻击成果(比如数据库...这是一个简单的脚本和一组Yara规则，将从pastebin API获取粘贴，并将任何匹配的粘贴存储到具有漂亮的Kibana前端的elastic搜索引擎中。 ? ?...如果你对Yara不是特别了解，这里我简单的为大家介绍一下。Yara是一种模式匹配引擎，主要用于扫描文件和分类恶意软件家族。有了它我们就可以简单的构建一些较为复杂的匹配规则。安装比较简单。...我们还需要python3，Yara并将Yara和python绑定。安装完了所有的依赖关系后，我们从代码库克隆代码并设置一个cronjob来定期运行脚本。更详细示例及说明请参阅Github文件。...有关创建yara规则的更多详细信息，你可以参考其官方文档。随着脚本的启动和运行，你应该可以看到数据不断的被开始采集。以下是一些被捕获数据的示例。 ? ? ? ? ? ?

1.7K9 0

Go 的最佳正则表达式替代方案

缺点是，您需要libpcre3-dev依赖项； rure-go (正则表达式 1.9.3) — 使用带有CGo绑定的Rust正则表达式引擎。...它还需要编译和链接第三方依赖项； go-yara — 用于识别和分类恶意软件样本的工具。虽然YARA具有模板和正则表达式的功能，但它非常有限，因此我不会在即将进行的测试中包含该库。...处理文本中没有匹配项的正则表达式的速度有多快？不同的库使用多少内存？使用分组我可以编译多少个正则表达式？ 2....不匹配的正则表达式在前面的案例中，我们模拟了数据中始终存在匹配的理想情况。但是，如果文本中没有匹配正则表达式怎么办，这会对性能产生多大影响？...在此测试中，我另外为 SSN 添加了5 个与数据不匹配的修改后的正则表达式。

1K4 0

使用yara防御恶意软件

本文将分享本人在学习yara时的一些心得，并在后面给出使用yara来防御CobaltStrike的方法。...当然该规则没有进行任何操作。一般一个yara文件分为上述的三个部分，meta、strings、condition，并以rule包裹。rule后跟rule名字。...修饰符 yara提供了丰富的修饰符来方便匹配，如不区分大小写的nocase： rule RuleName { meta: author = "lengyi...就是简单的三条url地址，然后使用or进行匹配，而这些url地址也可以使用pestudio来查看： ? 并不需要太多的逆向知识，除此之外vt也有相关的功能： ?...，因此所产生的一切不良后果与本文作者及该公众号无任何关联。

8302 0

Meterpreter免杀及对抗分析

恶意软件匹配规则yara匹配恶意软件的时候就是用的这样的方式。通过特征来识别抓HASH工具QuarksPwDump，yara规则如下（查看原文) ? ?...可以看到匹配匹配$s1 $s2 $s3 $s4全部四条规则及标记为识别。...发送出去的stager就被编码过了，从流量看都是被编码过的数据，看不出来任何特征，如图： ?...杀毒软件最大的问题就是面对成千上万的文件，如何最快速度的扫描完所有的文件，而不浪费大量的性能在单个文件上（在扫描过程中把机器卡死是相当糟糕的体验）。要做到这个，需要在大量的文件中进行合理的取舍。...如果你有任何问题欢迎与我交流，博客或者微博都可以。最后，Metasploit是世界上最好的渗透测试工具！

2.5K9 0

Docker镜像扫描器的实现

则表明已经detect过这个layer，则结束返回。...方式一：模糊hash 模糊hash算法使用的是：https://ssdeep-project.github.io 我们根据其API实现了Go语言的绑定：gossdeep 主要API函数有两个，一个是Fuzzy_hash_file...规则引擎根据yara规则库进行检测 Yara("....我们可以将clamav的病毒库转换为yara规则，进行恶意代码识别。...也可以利用开源的yara规则，进行木马病毒的检测。 (3)镜像历史分析 (4)动态扫描通过docker的配置文件，我们可以获取到其暴漏出来的端口。模拟运行后，可以用常规的黑客漏洞扫描进行扫描。

2.7K5 0

恶意样本自动化配置提取初探

编写环境：语言：python 外部库： yara——匹配规则，锁定 C2 配置及密钥配置位置，pip install yara-python Cryptodome——提取整合加密密钥并导出 pip install.../en/v4.2.3/yarapython.html) 我们要用到的 API 如下：懂了之后就尝试编写代码获取特征区首地址了：我们这里用的 yara 是基于静态扫描，也就是说它不会展开内存来匹配...，所以匹配都是基于文件字节码的，返回值也是特征区在文件中的匹配，特别要注意的是它返回的偏移是 10 进制的，所以我们要自己转为十六进制。...cycle不断返回一样的副本。...cycle不断返回一样的副本。

1942 0

【安全事件】FireEye遭受APT攻击，红队工具箱被盗

此次泄漏的红队工具箱中不涉及0day漏洞和未公开技术，目前暂未发现工具箱被散播和使用。...3.2 系统文件扫描 YARA由VirusTotal发布，用于研究人员识别和分析恶意样本，基于文本和二进制特征匹配原理，通过命令行界面或带有YARA-Python扩展名的Python脚本使用。...声明本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。...由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。...未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

1K6 0

狩猎二进制重命名

示例程序的模板可以在这里找到 WMIEvent-BinaryRename.ps1。 Yara 检测 Yara 是一个主要用于恶意软件检测的模式匹配工具。...基于字符串或者二进制模式的规则，利用布尔、计数或者正则表达式之类的匹配逻辑。虽然传统上仍然是基于模式的匹配，但是 Yara 是模块化、可扩展的。...值得注意的是，Yara 扫描可以针对没有文件名匹配时聚焦于域内文件的意外位置，但这并不符合二进制重命名的需要。 Powershell 检测这种情况下，首选的方式变成了 Powershell。...输出那些可以辅助分析的额外选项可以显著提升速度并优化逻辑。在下面的脚本输出中，可以看到输出中已经添加了 SHA1 哈希。 ? 局限任何静态检测能力的最大局限就是请求整块磁盘的性能。...最后希望这篇文章能够对你有所帮助，如果你有任何反馈、问题与改进措施，请随时与我们进行联系。Yara 检测与 Powershell 检测的代码可以在 Get-BinaryRename 找到。

1.3K2 0

手工搭建简易的Linux恶意脚本分析系统

系统功能系统的功能如下，主要为3个：使用yara检测脚本对应的病毒家族。计算脚本与样本库中每个样本的相似度。提取脚本新增/改动的恶意代码。...然而，待检测的脚本有可能是新的病毒家族，已有的yara规则无法匹配成功，这时候系统会遍历该脚本与样本库中每一个样本的相似度，筛选出相似度最高的家族。 ?...原理分析 3个核心功能分别由yara_scan函数、check_similarity函数、parse_modification函数实现，若check_similarity没有计算出相似度高的关联样本，则不执行...yara_scan函数通过yara库，调用rule_db里的yara规则对目标脚本进行扫描，返回匹配到病毒家族名。 ? 目前支持的检测的病毒家族如下。 ?...PS：若前面yara检测出对应的病毒家族，则只计算该家族目录下的样本相似度，否则，计算所有家族样本的相似度。 ? 样本按照发现日期进行存放，便于整理其中关系。 ?

1.1K2 0

哈勃linux沙箱-源码剖析上篇

静态检测的本质是特征码匹配，对已知的恶意文件进行快速匹配进而查杀，如果能在静态检测层面发现恶意代码，就不需要动态分析了，这样速度就会快很多。 ?...5. yara模糊过滤 YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具，使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息。...YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成，并阐述其逻辑。YARA规则可以提交给文件或在运行进程，以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。...查壳一般的恶意文件，为了防止被逆向人员分析，都会加壳的。哈勃主要是判断了是否是upx壳。如果是upx,则进行解压。判断是upx壳的方法很简单，直接使用upx进行解压，返回是否成功。 ?...内存分析对于内存，沙箱基本上都是基于volatility来做的，哈勃也不例外。哈勃主要分析了两部分内存： 1.bash 调用历史 ? 2.父子进程的关系 ?

2.5K1 0

二进制程序分析指南

静态分析静态恶意软件分析是指在不运行PE/ELF文件的情况下对其进行分析。...在x64dbg中打开可执行文件后，在地址’ 0x004010D5 ‘(在IDA中找到，函数被调用的地址)设置一个断点: 右键单击代码区域，选择“Go to”>“Expression”(或按CTRL+G)...案例：病毒防调试的一种方法，执行并判断函数‘ IsDebuggerPresent ’的返回值，恶意软件测试它是否在调试器存在的情况下运行。...D8 23 FB ‘，将触发名为’ FirstYaraRule ‘的Yara规则。十六进制字符串内的问号表示通配符(未知且可以匹配任何内容的字节)。...MISP是一个开源的威胁情报平台，被各大组织使用。研究员可以将接触到的规则添加到他自己的MISP实例中，并根据数据库中已经存储的其他事件的数据，得出相关性匹配。

1.9K1 0

如何在网络中追踪入侵者（三）：主机追踪

Yara用二进制模式和序列来检测和分类你系统上的恶意程序。Yara和Grep很像，都采用了一系列已知的模式然后进行搜索匹配。但是Yara做得更多，在文件，硬盘和内存中搜索二进制模式。...Yara Yara规则是基于二进制序列或文本对已知恶意软件模式进行结构化的一个很好的方法。下面是用来检测Mimikatz（攻击者从内存中提取windows认证信息的工具）病毒的Yara签名的一个片段。...这样就可以搜索很多主机的硬盘来标识提取出匹配二进制签名的文件。这很强大，但并非没有缺点。正如我们知道的，签名很容易失效。...你需要追踪未知的恶意软件并且在数据中找到异常。这里有好多方法可以实现，但是我们推荐hash的第一个栈，然后查找数据中不匹配一般族群的异常。...追踪技术不依赖于时刻变化的签名和IOC，因此提供方法来更好的匹配复杂的模型和攻击技术。每个组织和研究者可以开始主动的检测网络中未知的威胁。

1.2K9 0

如何使用yaraQA提升Yara规则的质量和性能

关于yaraQA yaraQA是一款功能强大的Yara规则分析工具，在该工具的帮助下，广大研究人员可以轻松提升Yara规则的质量和性能。...很多Yara规则可能在语法上是正确的，但功能很可能仍然存在问题。而yaraQA则会试图找到这些问题并将其报告给YARA规则集的开发者或维护者。...yaraQA的功能 yaraQA会尝试检测下列问题： 1、语法正确，但由于条件中的错误，从而导致不匹配的规则； 2、使用可能错误的字符串和修饰符组合的规则（例如$ = "\\Debug\\" fullword...yara files [yara files ...]]...[-d yara files [yara files ...]]

1491 0

Python-Iocextract：高级入侵威胁标识符IoC提取工具

工具介绍 Python-Iocextract是一款高级入侵威胁标识符IoC提取工具，它可以从文本语料库提取URL、IP地址、MD5/SHA哈希、电子邮件地址和YARA规则，其中还包括某些已编码或已被“...比如说，下面这个样本就使用了括号来进行IoC隐藏： 127[.]0[.]0[.]1 这种情况下，基于简单正则表达式匹配的工具就无法提取出这种IoC了。...通过使用精心设计的正则表达式以及反混淆检测技术，我们既可以检测到“被破坏”的IoC，也可以还原初始的IoC，为分析人员节省了时间和精力。.....hxxp://example.com/bad/urltcp://example[.]com:8989/badexample[.]comtcp://example[.]com:8989/bad 如果匹配到多个正则表达式的话...print url...http://example.com/path 该工具中所有的extract_*函数返回的都是迭代器，而不是列表。因此，iocextract可以处理大量数据输入。

2.1K3 0

初识CEL(一)

将CEL代码编译到AST中不应该在关键路径中进行；理想的应用是配置经常被执行而修改相对不频繁的应用。...在这种情况下，CEL返回一个布尔值，即请求是否应该被允许，但它可以返回一个更复杂的消息。1.3 使用CEL的相关资料下面会进行涵盖常见用例的编码练习。...该表达式返回一个布尔值，表明该索赔令牌是否仍然有效。// 通过检查"exp"要求，检查JSON网络令牌是否已经过期。...CEL评估器需要3样东西：任何自定义扩展的函数绑定变量绑定要评估的AST函数和变量绑定应该匹配用于编译AST时的内容一样。...这些输入中的任何一个都可以在多次评估中重复使用，比如一个AST在多个变量绑定集上评估，或者相同的变量被用于多个AST，或者在一个进程的生命周期中使用函数绑定(这是一种常见的情况)。

2.5K0 0

分析Cobalt Strike Payload

DNS_QUERY_NO_HOSTS_FILE DNS_QUERY_RETURN_MESSAGE 默认值以外的任何内容都是可疑的...绑定 API 函数的参数存储在SOCKADDR_IN硬编码为两个双字推送的结构中。PUSH具有 sin_addr 值的第一个位于偏移量 0x00C4 上。...负载包括存储在多个占位符中的完整请求信息。请求地址请求地址是一个由空字节终止的纯文本字符串，位于最后一个Payload指令之后，没有任何填充。...Cobalt Strike Web 服务器已禁止以 lynx、curl 或 wget 开头的用户代理，如果找到这些字符串中的任何一个，则返回响应代码 404。...编码的数据 blob 位于 XOR 算法代码之后，没有任何填充。编码数据以初始 XOR 密钥 (dword) 和数据大小（dword 与 init 密钥异或）开始。

1.6K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭