文件名称:malscan:在进程内存上运行YARA规则,并在匹配项上执行Python脚本
文件大小:784KB
文件格式:ZIP
更新时间:2024-06-07 23:17:30
C
恶意扫描 malscan是一种用于扫描进程内存以查找YARA匹配项并在找到匹配项后执行Python脚本的工具。 例如,这对于从恶意软件进程内存中提取配置很有用。 现实世界的例子 我们要提取PoisonIvy配置。 从逆向工程中,我们知道配置blob在PoisonIvy进程内的内存中以“ \ x08 \ x00StubPath”开头。 因此,我们编写了一个YARA规则来检测配置: rule pi_config { meta : plugin = " pi_config_extract " strings : $config_start = " \\ x08 \\ x00StubPath " condition : all of them } 在元信息中,我们告诉malscan如果该规则匹配,则运行哪个插件。
【文件预览】:
malscan-master
----malscan()
--------memory_scanner.cpp(4KB)
--------malscan.cpp(1KB)
--------python_plugin.cpp(2KB)
--------CMakeLists.txt(488B)
--------utils.cpp(931B)
----.gitattributes(2KB)
----yarapp()
--------CMakeLists.txt(110B)
--------yarapp.cpp(1KB)
----CMakeLists.txt(280B)
----README.md(3KB)
----CMakeSettings.json(479B)
----libyara()
--------libyara32.lib(2.16MB)
--------include()
----.gitignore(4KB)
----include()
--------memory_scanner.h(845B)
--------python_plugin.h(949B)
--------utils.h(316B)
--------yarapp.h(516B)