Digital Forensics: Malware Forensics > Yara Part 2
คำสั่ง yarascan ในโปรแกรม The Volatility memory forensics framework
# volatility yarascan --profile=WinXPSP2x86 -y
/root/Desktop/rules-master/malware/APT_Stuxnet.yar -f stuxnet.vmem
ตัวอย่าง ค้นหาโดยใช้ string
$ python vol.py -f zeus.vmem yarascan -D dump_files --yara-rules="simpleStringToFind"
ดูตัวอย่าง Rule ได้ที่ https://yara.readthedocs.io/en/v3.7.0
ตัวอย่าง ค้นหาโดยใช้ byte pattern
คำสั่ง yaraScan ในโปรแกรม The Volatility memory forensics framework
ถ้าใช้การ YARA rules file ให้ใส่คำสั่ง --yara-file=RULESFILE. Or, if you're just looking for something simple, and only plan to do the search a few times, then you can specify the criteria like --yara-rules=RULESTEXT.
-f zeus.vmemคือ ไฟล์ memory ที่เราต้องการดูว่ามีมัลแวร์อยู่หรือไม่
=/path/to/rules.yar คือพาทของที่ download มาเก็บไว้ฐานข้อมูลไฟล์ .yar
$ python vol.py -f zeus.vmem yarascan --yara-file=/path/to/rules.yar
คำสั่ง yara
# yara -w -m /root/Desktop/rules-master/malware/*.yar
/root/Desktop/Malware\ Dump/zeus.vmem
เมื่อscan เสร็จให้เก็บไว้บน text file
> MalwareReport.txt 
Tools ตัวไหนบ้าง ที่หลักการ แบบ Yara
https://yara.readthedocs.io/en/v3.4.0/writingrules.html
https://www.bsk-consulting.de/loki-free-ioc-scanner/
https://en.wikipedia.org/wiki/Indicator_of_compromise
https://blog.malwarebytes.com/security-world/technology/2017/09/explained-yara-rules/
https://securityintelligence.com/signature-based-detection-with-yara/
https://www.joesandbox.com
https://github.com/Yara-Rules
http://malware-traffic-analysis.net
https://malshare.com
https://nodistribute.com
#Malware Forensics
#Digital Forensics Certification
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#DForensics-Examiner
#dforensic.blogspot.com/
#Certified Examiner
No comments:
Post a Comment