看我如何使用yara扫描webshell

首发：看我如何使用yara扫描webshell

前言

Yara是一款根据规则库快速匹配文本或程序或进程的工具，杀毒软件早年查杀软件就靠特征匹配，而这个工具就是匹配器，只要你的规则写的足够强大，他可以找出任何符合规则的目标，也就是规则写得好就没有能逃过查杀的Webshell。

github
https://github.com/VirusTotal/yara

windows编译使用

github源码直接有windows版本

github源码直接有windows版本

使用visual studio 2015打开直接生成即可

使用visual studio 2015打开直接生成即可

Debug目录下生成了yara64.exe

Debug目录下生成了yara64.exe

运行yara

运行yara

调用方式

yara64.exe 参数 规则文件 目标文件或目录
例如
yara64.exe generic_jsp.jar cmd.jsp
yara64.exe generic_jsp.jar cmd.jsp -s

generic_jsp.jar使jspshell的扫描规则。

官方也发布了一些规则

https://github.com/Yara-Rules/rules

例子

具体参数可通过--help查看

具体参数可通过--help查看

Linux编译使用

我使用的使ubuntu,从github下载源码后

sudo apt-get install automake libtool make gcc
sudo apt-get install flex bison
chmod 777 bootstrap.sh
./bootstrap.sh
chmod 777 configure
./configure
sudo make install

参考：https://yara.readthedocs.io/en/v3.6.0/gettingstarted.html

使用方式跟windows相同这里就不赘述

使用方式跟windows相同这里就不赘述

使用Webshells_index.jar规则扫描下我的jspshell，看下效果还是不错的

使用Webshells_index.jar规则扫描下我的jspshell目录，看下效果还是不错的