开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

YARA的Go绑定不返回任何匹配

YARA是一种强大的模式匹配工具，用于在二进制文件、文本文件和内存中查找特定的模式。它可以用于恶意软件分析、威胁情报、漏洞研究等领域。

YARA的Go绑定是一个用于在Go语言中使用YARA的库。它提供了与YARA C库的交互，使开发人员能够在Go语言中使用YARA的功能。

然而，如果YARA的Go绑定不返回任何匹配，可能有以下几个可能的原因：

模式匹配问题：YARA的模式匹配是基于规则的，如果规则中的模式不正确或不完整，可能导致没有匹配结果。建议检查规则中的模式是否正确，并确保它们与要匹配的内容相匹配。
数据源问题：YARA的Go绑定需要提供要匹配的数据源，例如文件或内存中的数据。如果数据源不正确或不可访问，可能导致没有匹配结果。建议检查数据源是否正确，并确保它们可以被正确地读取。
YARA版本问题：YARA的Go绑定可能与特定版本的YARA库不兼容。建议检查YARA的Go绑定和YARA库的版本是否匹配，并尝试使用兼容的版本。

对于YARA的Go绑定不返回任何匹配的问题，腾讯云没有提供直接相关的产品或产品介绍链接地址。但腾讯云提供了丰富的云计算服务，包括云服务器、云数据库、云存储等，可以帮助开发人员构建和部署云原生应用、进行网络通信和安全等方面的需求。您可以访问腾讯云官方网站（https://cloud.tencent.com/）了解更多关于腾讯云的产品和服务。

相关搜索:React.js中的匹配始终不返回任何内容 go中包含的库的类型不匹配容器中的Go API未返回任何响应属性名称不匹配的IOptions绑定返回不匹配的子串 Sed的"+“量词似乎不匹配任何内容如何返回具有任何列匹配输入的任何行的任何记录不返回任何内容的递归函数 PHP和Go中的hmac散列不匹配匹配单词串并返回不匹配的单词 Go中的uint32和bool类型不匹配 getOptionChain()不返回R中的任何数据不返回任何资源的函数列表 Python的recvfrom()函数不返回任何数据我的地图函数不返回任何信息？过滤后的聚合不返回任何结果不返回任何结果的简单Postgres查询左联接不返回Null或不匹配的值函数不返回任何内容(甚至不返回未定义的内容)可选匹配不返回断开节点的路径

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Go: 命名返回值的使用, return携带还是不携带？

在Go语言中，命名返回值提供了一种声明函数返回值的方式，它可以增加代码的可读性和灵活性。但是，在使用命名返回值时，return语句是否应该明确携带返回值，是一个常见的困惑。...不带命名返回值的return 或者，你可以省略return语句中的返回值，让Go自动返回命名返回值的当前值： func sum(a, b int) (result int) { result = a...建议做法对于简单的函数，可以考虑省略return语句中的返回值，使代码更精简。对于复杂的函数或重要的库，可能更适合明确指定返回值，以增加代码的可读性和可维护性。...总结命名返回值在Go语言中是一个强大的工具，但如何使用它没有固定的规则。选择是否在return语句中携带返回值取决于多个因素，包括代码的复杂性、团队的编程风格以及可读性和可维护性的需求。...最终的建议是，无论选择哪种方式，都应该追求代码的清晰、一致和有良好的文档支持。希望这篇文章能帮助你解决关于Go语言中命名返回值使用的困惑。

4893 0

如何使用FastFinder快速搜索可疑文件

该工具主要侧重于终端枚举以及基于各种标准的可疑文件查找： 1、文件路径/名称 2、MD5/SHA1/SHA256校验和 3、简单的字符串内容匹配 4、基于YARA规则的复杂内容匹配条件 FastFinder...工具安装 FastFinder可以在Linux平台上完美运行，跟其他Go语言程序不同的是，如果我们需要使用源码编译和运行的话，则需要安装一些库和编译工具。...FastFinder依赖于libyara、go-yara和CGO实现其功能。...工具要求 1、Go >= 1.17 2、正确配置GOPATH / GOOS / GOARCH 3、管理员权限编译YARA 首先，我们需要下载YARA最新版发布源码：【下载地址】。...FastFinder了： go build -tags yara_static -a -ldflags '-s -w' .

7242 0

yara匹配引擎进阶语法指南

前言具备检测相关经验的同学可能都对yara匹配引擎比较熟悉了，看雪论坛上也有非常详细的翻译文章 - 编写Yara规则检测恶意软件本文主要对yara文档容易被忽略的部分进行了翻译和总结，并且给出一些进阶用法的例子...，提高对yara匹配引擎语法的理解程度。...参考文档：** https://yara.readthedocs.io/en/v4.2.3/writingrules.html 匹配字符串 yara的匹配字符串可以使用一些修饰符，总结下来有如下部分：...#a) : ( @a[i] < 100 ) 迭代器在 YARA 4.0 中，for..of运算符得到了改进，现在它不仅可以用于迭代整数枚举和范围（例如：1,2,3,4 和 1..4），还可以用于任何类型的可迭代数据类型...它们还可以与“matches运算符一起使用，如果字符串与给定的正则表达式匹配，则返回true。

1.5K2 0

Spyre：一款基于YARA规则的入侵威胁指标IoC扫描工具

Spyre Spyre是一款功能强大的基于主机的IoC扫描工具，该工具基于YARA模式匹配引擎和其他扫描模块构建。...在使用Spyre时，我们需要提供自己的YARA规则集，关于YARA规则，广大研究人员可以参考awesome-yara库所提供的免费YARA规则集。...广大研究人员可以将Spyre当作一款事件响应与调查工具来使用，不过该工具并不能给终端设备提供任何的保护服务。...gcc gcc-multilib gcc-mingw-w64 autoconf automake libtool pkg-config wget patch sed golang-$VERSION-go...设置待扫描文件的YARA规则文件列表： --yara-proc-rules=FILELIST 设置待扫描进程内存空间的YARA规则文件列表： --yara-proc-rules=FILELIST 使用

7501 0

如何将Pastebin上的信息应用于安全分析和威胁情报领域

tl;dr 使用Yara规则从pastebin中查找和保存有趣的数据：https://github.com/kevthehermit/PasteHunter 很多黑客团队都喜欢把自己的攻击成果(比如数据库...这是一个简单的脚本和一组Yara规则，将从pastebin API获取粘贴，并将任何匹配的粘贴存储到具有漂亮的Kibana前端的elastic搜索引擎中。 ? ?...如果你对Yara不是特别了解，这里我简单的为大家介绍一下。Yara是一种模式匹配引擎，主要用于扫描文件和分类恶意软件家族。有了它我们就可以简单的构建一些较为复杂的匹配规则。安装比较简单。...我们还需要python3，Yara并将Yara和python绑定。安装完了所有的依赖关系后，我们从代码库克隆代码并设置一个cronjob来定期运行脚本。更详细示例及说明请参阅Github文件。...有关创建yara规则的更多详细信息，你可以参考其官方文档。随着脚本的启动和运行，你应该可以看到数据不断的被开始采集。以下是一些被捕获数据的示例。 ? ? ? ? ? ?

1.8K9 0

Go 的最佳正则表达式替代方案

缺点是，您需要libpcre3-dev依赖项； rure-go (正则表达式 1.9.3) — 使用带有CGo绑定的Rust正则表达式引擎。...它还需要编译和链接第三方依赖项； go-yara — 用于识别和分类恶意软件样本的工具。虽然YARA具有模板和正则表达式的功能，但它非常有限，因此我不会在即将进行的测试中包含该库。...处理文本中没有匹配项的正则表达式的速度有多快？不同的库使用多少内存？使用分组我可以编译多少个正则表达式？ 2....不匹配的正则表达式在前面的案例中，我们模拟了数据中始终存在匹配的理想情况。但是，如果文本中没有匹配正则表达式怎么办，这会对性能产生多大影响？...在此测试中，我另外为 SSN 添加了5 个与数据不匹配的修改后的正则表达式。

2K4 0

使用yara防御恶意软件

本文将分享本人在学习yara时的一些心得，并在后面给出使用yara来防御CobaltStrike的方法。...当然该规则没有进行任何操作。一般一个yara文件分为上述的三个部分，meta、strings、condition，并以rule包裹。rule后跟rule名字。...修饰符 yara提供了丰富的修饰符来方便匹配，如不区分大小写的nocase： rule RuleName { meta: author = "lengyi...就是简单的三条url地址，然后使用or进行匹配，而这些url地址也可以使用pestudio来查看： ? 并不需要太多的逆向知识，除此之外vt也有相关的功能： ?...，因此所产生的一切不良后果与本文作者及该公众号无任何关联。

9192 0

Meterpreter免杀及对抗分析

恶意软件匹配规则yara匹配恶意软件的时候就是用的这样的方式。通过特征来识别抓HASH工具QuarksPwDump，yara规则如下（查看原文) ? ?...可以看到匹配匹配$s1 $s2 $s3 $s4全部四条规则及标记为识别。...发送出去的stager就被编码过了，从流量看都是被编码过的数据，看不出来任何特征，如图： ?...杀毒软件最大的问题就是面对成千上万的文件，如何最快速度的扫描完所有的文件，而不浪费大量的性能在单个文件上（在扫描过程中把机器卡死是相当糟糕的体验）。要做到这个，需要在大量的文件中进行合理的取舍。...如果你有任何问题欢迎与我交流，博客或者微博都可以。最后，Metasploit是世界上最好的渗透测试工具！

2.6K9 0

Docker镜像扫描器的实现

则表明已经detect过这个layer，则结束返回。...方式一：模糊hash 模糊hash算法使用的是：https://ssdeep-project.github.io 我们根据其API实现了Go语言的绑定：gossdeep 主要API函数有两个，一个是Fuzzy_hash_file...规则引擎根据yara规则库进行检测 Yara("....我们可以将clamav的病毒库转换为yara规则，进行恶意代码识别。...也可以利用开源的yara规则，进行木马病毒的检测。 (3)镜像历史分析 (4)动态扫描通过docker的配置文件，我们可以获取到其暴漏出来的端口。模拟运行后，可以用常规的黑客漏洞扫描进行扫描。

2.8K5 0

恶意样本自动化配置提取初探

编写环境：语言：python 外部库： yara——匹配规则，锁定 C2 配置及密钥配置位置，pip install yara-python Cryptodome——提取整合加密密钥并导出 pip install.../en/v4.2.3/yarapython.html) 我们要用到的 API 如下：懂了之后就尝试编写代码获取特征区首地址了：我们这里用的 yara 是基于静态扫描，也就是说它不会展开内存来匹配...，所以匹配都是基于文件字节码的，返回值也是特征区在文件中的匹配，特别要注意的是它返回的偏移是 10 进制的，所以我们要自己转为十六进制。...cycle不断返回一样的副本。...cycle不断返回一样的副本。

2872 0

狩猎二进制重命名

示例程序的模板可以在这里找到 WMIEvent-BinaryRename.ps1。 Yara 检测 Yara 是一个主要用于恶意软件检测的模式匹配工具。...基于字符串或者二进制模式的规则，利用布尔、计数或者正则表达式之类的匹配逻辑。虽然传统上仍然是基于模式的匹配，但是 Yara 是模块化、可扩展的。...值得注意的是，Yara 扫描可以针对没有文件名匹配时聚焦于域内文件的意外位置，但这并不符合二进制重命名的需要。 Powershell 检测这种情况下，首选的方式变成了 Powershell。...输出那些可以辅助分析的额外选项可以显著提升速度并优化逻辑。在下面的脚本输出中，可以看到输出中已经添加了 SHA1 哈希。 ? 局限任何静态检测能力的最大局限就是请求整块磁盘的性能。...最后希望这篇文章能够对你有所帮助，如果你有任何反馈、问题与改进措施，请随时与我们进行联系。Yara 检测与 Powershell 检测的代码可以在 Get-BinaryRename 找到。

1.3K2 0

手工搭建简易的Linux恶意脚本分析系统

系统功能系统的功能如下，主要为3个：使用yara检测脚本对应的病毒家族。计算脚本与样本库中每个样本的相似度。提取脚本新增/改动的恶意代码。...然而，待检测的脚本有可能是新的病毒家族，已有的yara规则无法匹配成功，这时候系统会遍历该脚本与样本库中每一个样本的相似度，筛选出相似度最高的家族。 ?...原理分析 3个核心功能分别由yara_scan函数、check_similarity函数、parse_modification函数实现，若check_similarity没有计算出相似度高的关联样本，则不执行...yara_scan函数通过yara库，调用rule_db里的yara规则对目标脚本进行扫描，返回匹配到病毒家族名。 ? 目前支持的检测的病毒家族如下。 ?...PS：若前面yara检测出对应的病毒家族，则只计算该家族目录下的样本相似度，否则，计算所有家族样本的相似度。 ? 样本按照发现日期进行存放，便于整理其中关系。 ?

1.2K2 0

【安全事件】FireEye遭受APT攻击，红队工具箱被盗

此次泄漏的红队工具箱中不涉及0day漏洞和未公开技术，目前暂未发现工具箱被散播和使用。...3.2 系统文件扫描 YARA由VirusTotal发布，用于研究人员识别和分析恶意样本，基于文本和二进制特征匹配原理，通过命令行界面或带有YARA-Python扩展名的Python脚本使用。...声明本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。...由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。...未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

1.1K6 0

哈勃linux沙箱-源码剖析上篇

静态检测的本质是特征码匹配，对已知的恶意文件进行快速匹配进而查杀，如果能在静态检测层面发现恶意代码，就不需要动态分析了，这样速度就会快很多。 ?...5. yara模糊过滤 YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具，使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息。...YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成，并阐述其逻辑。YARA规则可以提交给文件或在运行进程，以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。...查壳一般的恶意文件，为了防止被逆向人员分析，都会加壳的。哈勃主要是判断了是否是upx壳。如果是upx,则进行解压。判断是upx壳的方法很简单，直接使用upx进行解压，返回是否成功。 ?...内存分析对于内存，沙箱基本上都是基于volatility来做的，哈勃也不例外。哈勃主要分析了两部分内存： 1.bash 调用历史 ? 2.父子进程的关系 ?

2.6K1 0

二进制程序分析指南

静态分析静态恶意软件分析是指在不运行PE/ELF文件的情况下对其进行分析。...在x64dbg中打开可执行文件后，在地址’ 0x004010D5 ‘(在IDA中找到，函数被调用的地址)设置一个断点: 右键单击代码区域，选择“Go to”>“Expression”(或按CTRL+G)...案例：病毒防调试的一种方法，执行并判断函数‘ IsDebuggerPresent ’的返回值，恶意软件测试它是否在调试器存在的情况下运行。...D8 23 FB ‘，将触发名为’ FirstYaraRule ‘的Yara规则。十六进制字符串内的问号表示通配符(未知且可以匹配任何内容的字节)。...MISP是一个开源的威胁情报平台，被各大组织使用。研究员可以将接触到的规则添加到他自己的MISP实例中，并根据数据库中已经存储的其他事件的数据，得出相关性匹配。

2.2K1 0

如何在网络中追踪入侵者（三）：主机追踪

Yara用二进制模式和序列来检测和分类你系统上的恶意程序。Yara和Grep很像，都采用了一系列已知的模式然后进行搜索匹配。但是Yara做得更多，在文件，硬盘和内存中搜索二进制模式。...Yara Yara规则是基于二进制序列或文本对已知恶意软件模式进行结构化的一个很好的方法。下面是用来检测Mimikatz（攻击者从内存中提取windows认证信息的工具）病毒的Yara签名的一个片段。...这样就可以搜索很多主机的硬盘来标识提取出匹配二进制签名的文件。这很强大，但并非没有缺点。正如我们知道的，签名很容易失效。...你需要追踪未知的恶意软件并且在数据中找到异常。这里有好多方法可以实现，但是我们推荐hash的第一个栈，然后查找数据中不匹配一般族群的异常。...追踪技术不依赖于时刻变化的签名和IOC，因此提供方法来更好的匹配复杂的模型和攻击技术。每个组织和研究者可以开始主动的检测网络中未知的威胁。

1.2K9 0

完全无法检测的CobaltStrike

今天我们将运用之前的一系列内容，修改并配置一个真正无法被检测的cobaltstrike。...（如下图）显而易见，即使我们设置了sleepmask，沙箱命中CobaltStrike相关Yara规则，另外我们发现，护栏生效，无法跑出我们的目标IP。...yara特征绕过事实证明，我们在本地使用yara扫描结果并不能代表最终扫描结果（《三步免杀卡巴斯基，免杀数字时长达一周以上》），看到微步上面的那2个内存文件没有，我们直接下载下来，然后找到沙箱用的那些开源规则共计...显而易见，yara检测通过，0/27杀软全部通过，有1个WriteProcessMemoryAPI被标记为高危行为。另外还看到查询系统用户名（因为用到了护栏技术username匹配）显示黄色。...由于cobaltstrike高级技术长期维护更新，目前处于试运行阶段30元获取，2025年1月1日起价格将进行调整，感谢各位支持，有任何建议请直接留言或私信。

1591 0

CobaltStrike的狩猎与反狩猎

版本：4.9.1 不做任何配置启动teamserver 使用默认配置的生成x64位beacon，上线pid为3040 0x021 BeaconEye BeaconEye 的核心原理是通过扫描CobaltStrike...Elastic安全公司开源检测CobaltStrike的yara规则 Google GCTI开源检测CobaltStrike的yara规则使用Elastic的yara规则检测beacon，可以看到命中了...6条规则使用-s参数打印出匹配的字符串 0x024 Hollows_Hunter hollows_hunter用于扫描所有正在运行的进程，识别各种潜在的恶意植入物，如替换/植入的PE、shellcode...来使用，重新启动server，生成beacon上线再次使用yara检测发现字符串匹配特征已经少了很多，但是还有一些存在既然profile中的特征已经去除了，那么剩余的规则要么在原始beacon.dll...其实这项规则恰恰匹配的就是sleep_mask屏蔽的方法，如下图所示使用arsenal-kit的sleepmask进行配置在common_mask.c中自定义我们的算法 /* My a beacon

1891 0

RmTool！一款蓝队必备应急工具

" //要找的文件的hash,这是个数组 ], "filenames": [ "InstDrv.bin" //要找的文件名字,这是模糊匹配,这是个数组 ],...特定信息扫描工具等等，自己配置yara请确保有yara文件，否做工具无法运行 2. door scanner 这个是应急用的给朋友定制的，主要用途扫描持久化后门，功能列表：扫描计划任务、注册表自启动、...} 3. memory scan 这个是之前duckmemoryscan的进化版本，主要用途扫描内存后门，功能列表：扫描内存马(任何在heap上的内存马,如cobalt strike、msf,xor...dll文件的安全性,但是会慢 "max_file_limit": 5002400 //最大读取文件的大小,超过这个大小的文件不读取 } 可以编辑yara_rules目录，默认yara检测cobalt...strike的beacon，也可以写其他的规则，比如扫描内存中是否有IP地址、是否有域名啥的，看yara编写配置.

2131 0

CobaltStrike的狩猎与反狩猎

0x01 前言又到了xxx的时间了，在对红队基础设施的准备时写下的这篇文章 0x02 开始狩猎 CobaltStrike版本：4.9.1 不做任何配置启动teamserver 使用默认配置的生成x64...CobaltStrike的yara规则]（https://github.com/chronicle/GCTI）使用Elastic的yara规则检测beacon，可以看到命中了6条规则使用-s参数打印出匹配的字符串...）中提供了一些解决方法 0x031 Yara bypass 0x0311 字符串处理可以看到Windows_Trojan_CobaltStrike_ee756db7匹配了很多字符串，我决定先看看这些字符串都是从哪里来的...来使用，重新启动server，生成beacon上线再次使用yara检测发现字符串匹配特征已经少了很多，但是还有一些存在既然profile中的特征已经去除了，那么剩余的规则要么在原始beacon.dll...其实这项规则恰恰匹配的就是sleep_mask屏蔽的方法，如下图所示使用arsenal-kit的sleepmask进行配置在common_mask.c中自定义我们的算法 /* My a beacon

5001 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭