README_CN.md

Awesome YARA

精选的 Yara 规则、工具和相关资源的清单。本清单受到 awesome-python 与 awesome-php 的启发创建。

YARA 是 YARA: Another Recursive Ancronym 或者 Yet Another Ridiculous Acronym 的首字母缩写，怎么解释都可以。

-- Victor M. Alvarez (@plusvic)

YARA 是为恶意软件研究人员/所有人准备的模式匹配瑞士军刀，由 @plusvic 与 @VirusTotal 开发，可在 GitHub 的仓库 中查看。

目录

• 100 Days of YARA (#100DaysofYARA)
• 规则
• 工具
• 服务
• 语法高亮
• 人员
• 相关列表
• 贡献

图例

• 👀 - 维护积极，值得一看
• 💎 - 创新且富有教育意义
• ✨ - 过去半年新兴的好东西
• 🏆 - 绝对不能错过

100 Days of YARA (#100DaysofYARA)

受到 #100DaysOfCode 活动的启发，Greg Lesnewich 在 2022 年发起了名为 #100DaysofYARA 的季度 Yara 挑战活动。活动旨在推动社区进行规则创建、源码贡献或者相关知识的教学。重要贡献者包括 Wesley Shields、Steve Miller。所有参与者可以参见 Twitter List。该活动所有相关的规则，全都整理在 100 Days of YARA。

规则

• AlienVault Labs Rules
  • AlienVault Labs 提供的工具、签名和规则的仓库。可通过 .yar 和 .yara 扩展名找到 Yara 规则，包括 APT 检测到通用的沙盒/虚拟机检测。最后更新时间为 2016 年 1 月。
• Apple OSX
  • 近 40 个检测 macOS 上恶意软件的签名。XProtect.yara 文件位于 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/。
• bartblaze YARA rules 👀
  • 个人 Yara 签名库。
• BinaryAlert YARA Rules
  • 为配合 BinaryAlert 工具，AirBnB 提供了数十条规则，在 Linux、Windows 与 OS X 平台上检测恶意软件。
• Burp YARA Rules
  • 通过 Yara-Scanner 扩展与 Burp Proxy 一起使用的 Yara 规则集合。主要针对通过 HTTP 传输的非 EXE 恶意软件，包含 HTML、Java、Flash、Office、PDF 文件等。最新更新于 2016 年 6 月。
• BinSequencer
  • 在一组样本文件中找到通用的字节模式，据此生成 Yara 签名。
• CAPE Rules 👀
  • 与 Cuckoo 沙盒的 Config And Payload Extraction（CAPE）扩展绑定的规则集。
• CDI Rules
  • CyberDefenses 提供的 Yara 签名库。
• Citizen Lab Malware Signatures
  • Citizen Lab 提供的 Yara 签名库。包含许多恶意软件家族的数十个签名，最后更新时间为 2016 年 11 月。
• ConventionEngine Rules ✨
  • 检测看起来很独特、异常或明显带有恶意关键字的 PDB 路径的 Yara 规则。
• Deadbits Rules 👀
  • Splunk 的首席威胁情报分析师 Adam Swanda 提供的 Yara 规则库，对外披露对恶意软件的研究进展。
• Delivr.to Detections
  • 由 delivr.to 团队的检测规则库。
• Didier Stevens Rules 💎
  • Didier Stevens 提供的规则集合，用于检查 OLE/RTF/PDF 的工具，这些规则通常是为威胁狩猎而写的，新的规则会在 NVISO 的博客中发布。
• Elastic Security YARA Rules
  • Elastic 在 Elastic 的终端产品中提供基于签名的 Yara 规则，这些规则用于检测 Linux、Windows 和 macOS 系统中出现的威胁。存储库中已经包含 1000 多个 Yara 规则，覆盖木马、勒索软件、挖矿木马、攻击渗透框架等。
• ESET IOCs 👀
  • ESET 提供的 Yara 签名和 Snort 签名库。可以通过文件扩展名搜索 Yara 规则，仓库每月更新。在 ESET WeLiveSecurity Blog 上也经常披露 IOC 指标。
• Fidelis Rules
  • Fidelis Cyber 的仓库中有 6 个 Yara 规则，大约每个季度更新一次。
• FireEye
  • FireEye 红队工具检测签名库。
• Florian Roth Rules 👀 💎
  • Florian Roth 不断更新 IOC 与 Yara 规则集合。有数十条积极维护的规则，涵盖了多种威胁类型。
• Florian Roth's IDDQD Rule
  • 展示检测红队和威胁工具的 POC 规则。
• f0wl yara_rules
  • https://dissectingmalwa.re/ 博客提供的 Yara 签名库。
• Franke Boldewin Rules
  • @r3c0nst 提供的 Yara 规则集。
• FSF Rules
  • 用于 EmersonElectricCo FSF 的文件类型检测规则。
• GoDaddy ProcFilter Rules
  • 由 GoDaddy 发布的数十条可与 ProcFilter 一起使用的规则，包括检测壳、mimikatz 和特定的恶意软件。
• Google Cloud Threat Intelligence(GCTI) Rules
  • 检测 CobaltStrike 与 Sliver 的Yara 规则。
• h3x2b Rules 💎
  • 由 h3x2b 提供的规则集，可用于辅助逆向工程。例如标识加密代码、高熵值代码（证书发现）、注入\Hook 代码等。
• Icewater Rules
  • Icewater.io 提供的自动生成的 Yara 规则集合。
• imp0rtp3's Rules
  • 包含基于浏览器的 Yara 规则库。
• Intezer Rules ✨
  • Intezer 提供的 Yara 规则。
• InQuest Rules 👀
  • InQuest 研究员发布的、针对 VirusTotal 的威胁狩猎规则。规则会不断更新，在 InQuest 的博客上也会讨论新的发现。
• jeFF0Falltrades Rules ✨
  • 各类恶意软件家族的 Yara 规则集。
• kevthehermit Rules
  • Kevin Breen 个人的数十条规则，自 2016 年 2 月再未更新。
• Loginsoft Rules
  • 针对 Microsoft Office 格式文件进行检测的 Yara 规则。
• lw-yara
  • 用于扫描 Linux 服务器中的垃圾邮件、钓鱼网站和其他 Web 恶意程序的规则集。
• ndaal_YARA_passwords_default
  • 包含 1043 个组织默认凭据的 Yara 规则，其中也包含这些凭据的 base64、MD5、SHA512 等编码/哈希。
• ndaal_YARA_passwords_weak
  • 包含最常见的弱口令的 Yara 规则，其中也包含这些口令的 base64、MD5、SHA512 等编码/哈希。
• NCC Group Rules 👀
  • 由 NCC 的网络安全防御团队提供的 Yara 规则集。
• MalGamy's YARA_Rules
  • 包含一些对信息窃密程序的检测 Yara 规则集。
• Malice.IO YARA Plugin Rules 👀
  • 多来源、有关 Malice.IO 框架的 Yara 规则集。
• Malpedia Auto Generated Rules ✨
  • 包含由 Malpedia 的 YARA-Signator 自动创建的规则。
• Malpedia Auto Generated Rules Repo ✨
  • 请求访问更加容易的、Malpedia 自动生成的、基于代码的 YARA 规则规则库。
• McAfee Advanced Threat Research IOCs
  • 与 McAfee ATR 的博客和其他公开文章一起发布的 Yara 规则等。
• McAfee Advanced Threat Research Yara-Rules
  • McAfee ATR Teams 提供的 Yara 规则集。
• mikesxrs YARA Rules Collection 👀 🏆
  • 各种来源的开源 Yara 规则集合，包含超过 100 个类别、1500 个文件、4000 条规则，如果只能下载一个进行分析，那一定是这个。
• QuickSand Lite Rules
  • 该仓库包含一个用 C 写的框架和一些用于恶意软件分析的独立工具，以及一些相关的 Yara 规则。
• Rastrea2r
  • 在几分钟内对数千个端点进行 IOC 扫描狩猎。
• ReversingLabs YARA Rules ✨ 👀
  • 由 ReversingLabs 提供的 Yara 规则集，包含 Exploit、窃密软件、勒索软件、木马与病毒等恶意软件类型。
• Securitymagic's YARA Rules
  • 应对威胁的 Yara 规则。
• Sophos AI YaraML Rules
  • 自动创建的 Yara 规则库，每个目录下都包含 Yara 规则和相应的元数据（机器学习训练使用的文件哈希值和 ROC 曲线）。
• SpiderLabs Rules
  • SpiderLabs 提供的工具与脚本集合。只包含 3 个 Yara 规则，最后一次更新在 2015 年，但仍然值得一看。
• StrangeRealIntel's Daily IOCs 💎 :sparkes: 👀
  • 针对新兴威胁定期更新的 Yara 规则集合。
• t4d's PhishingKit-Yara-Rules
  • 用于网络钓鱼工具包的 Yara 规则，基于 zip 压缩文件的原始格式分析发现目录与文件名。
• Telekom Security Malare Analysis Repository
  • 包含在 telekom.com 博客上发布的脚本、签名和其他 IOC 指标。
• Tenable Rules
  • Tenable Network Security 提供的小型规则集合。
• TjadaNel Rules
  • 针对恶意软件的小型规则集合。
• VectraThreatLab Rules
  • 识别反逆向工程技术的 Yara 规则。
• Volexity - Threat-Intel ✨ 💎
  • 包含 Volexity 通过博客公开披露的 IOC 信息。
• x64dbg Signatures 💎
  • 识别加壳、编译器、加密的签名规则。
• YAIDS 💎 ✨
  • 使用 Yara 的多线程入侵检测系统，YAIDS 支持所有有效的 Yara 规则、模块与任何 PCAP 兼容数据流（网络、USB、蓝牙等）。
• YARA-FORENSICS
  • 文件类型识别规则集合。
• YARA Forge 💎 ✨ 👀
  • YARA Forge 专注于提供高准确度的 Yara 规则，以便进行集成。
• yara4pentesters
  • 识别包含类似用户名、密码等信息文件的规则。
• YaraRules Project Official Repo 👀
  • 社区不断更新维护的规则集。
• Yara-Unprotect
  • 为 Unprotect 创建的规则，用于检测恶意软件逃避技术。

工具

• AirBnB BinaryAlert
  • 开源 AWS 管道，使用配置好的 Yara 签名扫描上传到 S3 中的所有文件。
• a-ray-grass
  • 为 YARA 提供布隆过滤器支持，在hashlookup.io中能够在进一步分析之前快速过滤已知文件。
• Arya- The Reverse YARA
  • Arya 是用于生成能够触发 Yara 规则的样本文件的工具，即与 Yara 相反的功能，依据规则生成文件。
• 使用 YARA 规则审计 node_module
  • 针对给定的 node_module 文件夹运行一组给定的 YARA 规则
• AutoYara
  • 使用 Biclustering 自动生成 Yara 规则。
• base64_substring
  • 匹配基于 base64 编码数据的 Yara 规则。
• CAPE: Config And Payload Extraction 👀
  • 用于从恶意软件中提取 Payload 和配置文件的 Cuckoo 的扩展，首次运行检测恶意软件家族，根据不同的家族在二次执行时提取 Payload 和配置文件。
• CCCS-Yara
  • Yara 规则元数据规范和验证程序。
• clara ✨
  • 实时 ClamAV + Yara 扫描 S3 存储桶。
• Cloudina Security Hawk ✨
  • 基于 CLAMAV 和 YARA 的云杀软扫描 API，适用于 AWS S3、AZURE Blob 和 GCP。
• CrowdStrike Feed Management System
  • 自动收集、处理来自 VirusTotal 的样本文件，基于 Yara 规则匹配结果进行处理。
• CSE-CST AssemblyLine
  • 由加拿大通信安全机构（CSE）开源的 AssemblyLine，该工具用于分析恶意文件，也为 Yara 提供了接口。
• dnYara
  • 用于本地 Yara 库的多平台 .NET 库。
• ELAT
  • 使用 Yara 规则进行 Windows 事件日志分析。
• Emerson File Scanning Framework (FSF)
  • 模块化、递归文件扫描工具。
• ExchangeFilter
  • 使用 YARA 检测电子邮件中恶意软件的 MS Exchange Transport
• factual-rules-generator
  • 旨在从正在运行的系统中生成有关已安装软件的 Yara 规则的工具。
• Fadavvi YARA collection script
• FARA
  • FARA 又名 Faux YARA，其中包含故意写错的 Yara 规则。旨在为新手安全分析人员、刚接触 Yara 的人员、甚至是希望对 Yara 规则编写保持敏感的人提供学习工具。
• Fastfinder
  • 专为事件响应设计的跨平台（Windows、Linux）可疑文件查找工具，支持 MD5/SHA1/SHA256、字符/通配符、正则表达式和 Yara 规则。
• findcrypt-yara and FindYara
  • 使用 Yara 规则扫描样本文件文件发现加密常量的 IDA Pro 插件。
• Fibratus
  • 用于 Windows 内核漏洞利用和观测分析的工具，侧重于安全并支持 Yara 规则。
• Fnord
  • 用于混淆代码的模式提取工具。
• GoDaddy ProcFilter 💎
  • ProcFilter 是内置 Yara 的 Windows 进程过滤工具，可以使用自定义的元标记对 Yara 规则进行检测，根据检测结果进行对应的响应处理。工具作为 Windows 服务运行，且与 Windows 的 ETW API 整合在一起，结果在 Windows 事件日志中可见。安装、启动和删除都可以动态完成，无需重新启动计算机。
• go-yara
  • Yara 的 Go 接口。
• halogen
  • Halogen 是针对嵌入恶意文档中的图片自动创建 Yara 规则的工具。
• Hyara
  • 为 IDA Pro、Cutter 以及 BinaryNinja 提供的，为给定起始地址和终止地址之间的 ASCII 和十六进制字符串创建 Yara 规则的插件。
• IDA_scripts
  • 用于从可执行操作码（包括 .NET 在内）生成 Yara 签名的 IDAPython 脚本。
• ida_yara
  • 使用 Yara 扫描 IDB 内的数据。
• ida-yara-processor
  • 用于编译好的 Yara 规则的 IDA Processor。
• InQuest ThreatKB
  • 基于 Yara 规则和 IOC 指标等知识的工作流管理。
• iocextract
  • IOC 提取工具，具备 Yara 规则的提取能力。
• Invoke-Yara
  • 在远程设备中运行 Yara 的 PowerShell 脚本。
• java2yara
  • 通过 Java 生成 Yara 规则的库。
• KLara
  • 使用 Python 写的分布式扫描系统，允许研究人员扫描样本库中的样本。
• Laika BOSS
  • 提供可扩展、灵活、详细的对象扫描和入侵检测系统。
  • Laika BOSS 白皮书
• libyara.NET
  • libyara 的 .NET 接口，基于 C++ CLI 构建。
• Malcat
  • 用于恶意软件分析领域的十六进制编辑工具、反汇编工具、反编译工具，其中内置了 Yara 扫描工具与 Yara 规则编辑器。工具有免费与付费两个版本。
• MalConfScan
  • 提取已知恶意软件配置的 Volatility 插件，该工具在内存中搜索恶意软件并提取配置信息。
• malscan
  • 使用 Yara 进行进程内存扫描，匹配中即执行 Python 脚本。
• MISP Threat Sharing
  • 包括 IOC、威胁情报、恶意样本在内的威胁情报平台，包括共享、生成和验证 Yara 规则的支持。
• MITRE MultiScanner
  • 通过自动为文件执行分析帮助用户评估一组文件。
• mkYARA
  • 基于二进制代码创建 Yara 规则。
• mquery
  • 用于在大型数据集上快速进行 Yara 扫描的 Web 前端。
• ndaal YARA ruleset checker
  • ndaal YARA 规则校验。
• Nextron Systems OSS and Commercial Tools (Florian Roth: @Neo23x0)
  • Loki Pyton 实现的 IOC 与 Yara 规则扫描工具。（开源、免费）
  • THOR Lite Go 实现的 IOC 与 Yara 规则扫描工具。（闭源、免费但需要注册）
• node-yara
  • Yara 的 Node.js 接口。
• ocaml-yara
  • libyara 的 OCaml 接口。
• OCYara
  • 对图片进行 OCR 再使用 Yara 进行扫描。
• osquery
  • 基于 osquery 的 Yara 扫描。
• PasteHunter
  • 使用 Yara 规则扫描 pastebin.com。
• plast
  • 使用 Yara 构建的检测、处理 IOC 指标的威胁狩猎工具。
• plyara
  • Python 编写的解析 Yara 规则工具。
• Polichombr
  • 具有 Yara 规则匹配和其他功能的恶意软件分析框架。
• PwC Cyber Threat Operations rtfsig
  • 简化对 RTF 文档中可能独特的部分进行签名。
• VirusTotalTools
  • 利用 VirusTotal 分析样本的工具，包括 VT_RuleMGR。
• shotgunyara
  • 给定一个字符串，基于该字符串创建 255 个异或后的版本的 Yara 规则。
• spyre
  • 基于 Yara 的文件 IOC 扫描工具。
• static_file_analysis
  • 使用 clamscan 和 Yara 深度分析文件（doc、pdf、exe 等）
• stoQ
  • 模块化和高度定制的框架，用于从多个不同数据源创建数据集。
• Strelka
  • 基于 Python3、ZeroMQ 和 Yara 构建的文件分析系统，用于威胁检测和情报收集。
• Sysmon EDR ✨
  • YARA 扫描、进程终止、网络拦截以及更多 EDR 的功能。
• SwishDbgExt
  • 使用 Yara 规则在进程内存中进行匹配的 WinDbg 扩展。
• ThreatIngestor
  • 多来源信息自动提取 IOC（包括 Yara 在内）。
• UXProtect
  • Apple 内置的 XProtect 进行 Yara 扫描。
• VTCodeSimilarity-YaraGen 💎 ✨
  • 由 @arieljt 编写的 VirusTotal 的 code-similar-to: 功能的 Yara 规则生成器。
• Vxsig ✨
  • 通过相似样本集自动生成 AV 字节签名。
• yabin
  • 通过恶意软件的可执行代码创建 Yara 签名。
• yaml2yara
  • 通过 YAML 批量生成 Yarar 规则。
• YARA-CI ✨
  • YARA-CI 帮助在规则更改时进行自动化测试。
• yara-endpoint
  • 基于 Yara 的事件响应工具。
• YaraFileCheckerLib
  • 使用 Yara 检测恶意文件，并根据匹配规则的权重评估其危害程度的 .NET 库。
• YaraGenerator
  • 快速、简单、有效的 Yara 规则生成工具。
• YaraGen and yara_fn
  • 为 x64dbg 与 IDAPython 编写的、基于函数块生成 Yara 规则的插件。
• YaraGuardian
  • 基于 Django 开发、用于管理 Yara 规则的 Web 界面。
• YaraHunter
  • 云原生恶意软件扫描工具，可作为运行时 CI/CD 的一部分。
• yara-java
  • Yara 的 Java 接口。
• yaralyzer
  • 通过颜色可视化检查并强制解码二进制数据与文本数据中的 YARA 和正则表达式匹配项。
• yaraMail
  • 用于 IMAP 订阅与保存流的 Yara 扫描工具。
• Yara Malware Quick menu scanner
  • 将 Yara 扫描添加到 Windows 右键点击菜单中。
• YaraManager
  • 通过 Web 管理 Yara
• Yaramanager (PyPI)
  • 用于管理和组织 Yara 规则集的命令行工具。
• yaramod
  • 将 Yara 规则解析为 AST 的工具，并且提供了构建 Yara 规则的 C++ 接口。
• yarAnalyzer
  • Yara 规则覆盖度分析工具。
• yara-ocaml
  • Yara 的 OCaml 接口。
• yara-parser
  • 使用 Go 编写的解析规则工具。
• yaraparser
  • 解析 Yara 规则的 Python 3 模块。
• yaraPCAP
  • 用于 IMAP 订阅与保存流的 Yara 扫描工具。
• yara-procdump-python
  • Yara 进程内存访问 API 的 Python 接口。
• yara-rust
  • Yara 的 Rust 接口。
• yara-signator ✨
  • 用于 Malpedia 的自动 Yara 规则生成工具。
• YARA-sort
  • 根据 Yara 规则扫描文件，详情请查看博客文章。
• Yara Python ICAP Server
  • 提供 Yara 扫描的 ICAP 服务器。
• yarasafe
  • 使用机器学习进行自动化地函数签名生成。
• Yara-Scanner
  • Python 开发的、Burp Suite 的 Yara 扩展。
• yarascanner
  • Golang 开发的、Yara 扫描文件的 Web 服务。
• YaraSharp
  • Yara 库的 C# 接口。
• YaraStation
  • 旨在便利使用 Loki 的管理页面。
• yara_tools
  • 使用 Python 进行 Yara 规则配置的接口。
• Yara-Validator
  • 验证 Yara 规则并尝试修复损坏的规则。
• yaraVT
  • 使用 Yara 规则扫描文件，将规则匹配结果作为评论发送到 VirusTotal。
• yara_zip_module
  • 扫描在 zip 压缩文件内的字符串。
• yarg
  • 基于 x86/x86-64 代码生成 Yara 规则的 IDAPython 插件。
• yarGen
  • 用于发现相关样本进行狩猎的 Yara 规则生成工具。
• Yara Scanner
  • 为 yara-python 项目提供接口，包含多种功能。
• Yarasilly2
  • 受 VirusTotal Premium Account 的 DIFF 功能启发，为分析人员依据样本生成 Yara 规则提供便利的半自动工具。
• yaya
  • 自动管理开源 Yara 规则并运行扫描。
• YaYaGen
  • Android 恶意软件的 Yara 规则生成工具。
• Yeti
  • 该平台旨在一个库内组织 IOC 指标、TTP 与威胁相关的知识。
• yextend
  • 使 Yara 可以检测压缩文件的扩展。
• yaraZeekAlert ✨
  • 使用 Yara 规则扫描文件，出发告警的可发送电子邮件提醒，如果恶意文件小于 10MB 则将其作为附件发送。
• yaraScanParser
  • 用于解析 Yara 扫描服务 JSON 结果的工具。
• YARI
  • Rust 编写的 Yara 规则交互式调试器。
• YLS
  • 能够与 VS Code 和 Vim 集成使用的语言服务器，提供代码补全、函数文档、代码格式化和功能调试等功能。
• YMCA
  • 显示 YARA 规则和样本之间的匹配关系
• Yobi ✨
  • 支持在浏览器页面和脚本上运行 Yara 规则的 Firefox 扩展插件。
• statiStrings
  • YARA 规则的字符串统计计算器。

服务

• Hybrid Analysis YARA Search
  • 由 CrowdStrike/Hybrid Analysis 提供的 Yara 检索/狩猎。
• InQuest Labs ✨ 💎
  • 其中 Yara 规则的部分提供将正则表达式转换为匹配 base64 编码的字符串、将字符串转换为 uint() 可查的序列等示例。
• Koodous
  • APK 分析平台，带有社区 Yara 规则库和大型 APK 样本数据集。
• MalShare
  • 免费样本库，允许安全研究人员访问恶意样本和 Yara 结果。
• MalwareConfig
  • 从 RAT 木马中提取 IOC 指标。
• YaraEditor (Web)
  • 用于创建和管理 Yara 规则的多合一网站。
• YARAify✨
  • YARAify 是 abuse.ch 提供的服务，任何人都可以提交可疑文件进行扫描。
• Yara Scan Service
  • 一个针对大量恶意文件和已识别文件测试 Yara 规则的简单服务。

语法高亮

• Atom: language-yara
• Emacs: yara-mode
• 基于 GTK 的编辑器，如 gedit 与 xed: GtkSourceView-YARA
• Notepad++: userDefinedLanguages
• Sublime Text: YaraSyntax
• Vim: vim-yara, vim-syntax-yara
• Visual Studio Code: vscode-yara

人员

将本页提到的有关人员的 Twitter 汇总到一个列表（awesome-yara Twitter list）中，如果未列出可以向我们确认。

相关列表

• Crawler
• CVE PoC
• Forensics
• Hacking
• HackwithGithub
• Honeypots
• Incident-Response
• Infosec
• IOCs
• Malware Analysis
• ML for Cyber Security
• OSINT
• PCAP Tools
• Pentesting
• Reversing
• Security
• Static Analysis
• Threat Detection
• Threat Intelligence

贡献

该列表由 InQuest 维护，可以随时补充提交缺少的内容。

提交请查看文档 CONTRIBUTING.md。