热门标签
热门文章
- 1FPGA学习——实现任意倍分频器(奇数/偶数倍分频器均可实现)_fpga分频器
- 2Apache Spark SQL 章节六00_+----+-------+------+ | age| name|salary| +----+--
- 3解决cv2.imwrite存储带有中文路径或名称的图片乱码问题_cv2.imwrite 中文乱码
- 4【python小知识】python同一个函数并行计算_python 并行计算
- 5centos(或openEuler系统)安装kafka集群
- 6Apache RocketMQ ACL 2.0 全新升级_provider.newproducerbuilder() .settopics
- 7Facebook数据仓库的变迁与启示
- 8宿舍管理系统带文档java项目基于springboot+vue的宿舍管理系统_宿舍管理系统项目
- 9万能电视遥控器代码表_cdab107k,vcd遥控器新闻
- 10消息中间件--RabbitMQ学习(二)_消息中心rabbit mo
当前位置: article > 正文
应急响应-168天--ELK日志分析系统&Yara规则_yara内存马检测规则
作者:寸_铁 | 2024-07-24 12:40:36
赞
踩
yara内存马检测规则
ELK:
安装:https://mp.weixin.qq.com/s/rakuhGVSoUysso1VD5r0aA
三种模式:上传文件,特定分析,代理加入。
1、导入Web日志
2、导入系统日志
3、自动监控日志
Yara规则使用:
应急工具包:https://www.cnsrc.org.cn/rules
yara下载:https://github.com/VirusTotal/yara
yara 为yara使用程序
yarac 为编译yara规则工具
规则编写:保存为.yar
例如cs换个监听器,然后生成两个后门文件,对比,找到共有的特征
如:挖矿病毒提取:文件头,关键字,协议,域名等
根据提取的对象 提取共同点
内存马检测 需要使用procdump.exe将内存脱下来,yara64.exe demo1.yar PID
然后使用专门的工具 如 010editor 十六进制 搜索木马关键字 如木马含有的包地址
如:
rule jspfindshell
{
meta:
tag="jspfindshell"
description = "test jspfindshell"
author="xiaodisec"
strings:
$a = "org.apache.coyote"
condition:
all of them
}
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/寸_铁/article/detail/874724
推荐阅读
相关标签
