看我如何使用yara扫描webshell

前言

Yara是一款根据规则库快速匹配文本或程序或进程的工具,杀毒软件早年查杀软件就靠特征匹配,而这个工具就是匹配器,只要你的规则写的足够强大,他可以找出任何符合规则的目标,也就是规则写得好就没有能逃过查杀的Webshell。

github
https://github.com/VirusTotal/yara

windows编译使用

github源码直接有windows版本
github源码直接有windows版本

使用visual studio 2015打开直接生成即可


使用visual studio 2015打开直接生成即可

Debug目录下生成了yara64.exe
Debug目录下生成了yara64.exe

运行yara
运行yara

调用方式

yara64.exe 参数 规则文件 目标文件或目录
例如
yara64.exe generic_jsp.jar cmd.jsp
yara64.exe generic_jsp.jar cmd.jsp -s

generic_jsp.jar使jspshell的扫描规则。

官方也发布了一些规则

https://github.com/Yara-Rules/rules

例子

具体参数可通过–help查看

具体参数可通过--help查看

Linux编译使用

我使用的使ubuntu,从github下载源码后

sudo apt-get install automake libtool make gcc
sudo apt-get install flex bison
chmod 777 bootstrap.sh
./bootstrap.sh
chmod 777 configure
./configure
sudo make install

参考:https://yara.readthedocs.io/en/v3.6.0/gettingstarted.html

使用方式跟windows相同这里就不赘述
使用方式跟windows相同这里就不赘述

使用Webshells_index.jar规则扫描下我的jspshell,看下效果还是不错的
使用Webshells_index.jar规则扫描下我的jspshell目录,看下效果还是不错的