yarAnalyzer, Yara规则分析器和统计信息

分享于 

3分钟阅读

GitHub

  繁體 雙語
Yara Rule Analyzer and Statistics
  • 源代码名称:yarAnalyzer
  • 源代码网址:http://www.github.com/Neo23x0/yarAnalyzer
  • yarAnalyzer源代码文档
  • yarAnalyzer源代码下载
  • Git URL:
    git://www.github.com/Neo23x0/yarAnalyzer.git
    Git Clone代码到本地:
    git clone http://www.github.com/Neo23x0/yarAnalyzer
    Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/Neo23x0/yarAnalyzer
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
    
    yarAnalyzer

    Yara规则分析器和统计信息

    描述

    yarAnalyzer为yara规则集和示例目录中的文件创建统计信息。 在"签名"文件夹中放置一些带有. yar 扩展名的签名,然后在某个示例目录上运行 yarAnalyzer,例如:

    yarAnalyzer.py -p/sample/path -s/signatures

    它将生成两个表作为 命令行 输出和两个CSV文件。 ( yaranalyzer_file_stats。csv。yaranalyzer_rule_stats.csv )

    一个新特性是库存创建。

    yarAnalyzer.py --inventory -s/signatures

    这将创建一个名为 yara-rule-inventory.csv ( 默认值,设置为'-o')的CSV文件,其中包含有关已经初始化规则的信息。 ( 规则文件;规则名称;说明;引用)

    屏幕截图

    规则统计

    Rule Statistics

    文件统计信息

    File Statistics

    Excel中的CSV输出

    CSV Output in Excel

    用法
    
    usage: yarAnalyzer.py [-h] [-p path] [-s sigpath] [-e ext] [-i identifier]
    
    
     [-m max-size] [-l max-string] [-f first-bytes]
    
    
     [-o output] [--excel] [--noempty] [--inventory]
    
    
     [--printAll] [--debug]
    
    
    
    yarAnalyzer - Yara Rules Statistics and Analysis
    
    
    
    optional arguments:
    
    
     -h, --help show this help message and exit
    
    
     -p path Path to scan
    
    
     -s sigpath Path to signature file(s)
    
    
     -e ext signature extension
    
    
     -i identifier Set an identifier - will be used in filename
    
    
     identifier_rule_stats.csv and identifier_file_stats.csv
    
    
     -m max-size Max file size in MB (default=10)
    
    
     -l max-string Max filename/rulename string length in command line output
    
    
     -f first-bytes Number of first bytes to show in output
    
    
     -o output Inventory output
    
    
     --excel Add extras to suppress automatic conversion in Microsoft
    
    
     Excel
    
    
     --noempty Don't show empty values
    
    
     --inventory Create a YARA rule inventory only
    
    
     --printAll Print all files that are scanned
    
    
     --debug Debug output
    
    
    
    
    

    通过pip安装过时的"yara"python 模块。 使用"yara-python",或者从 github repo 安装它: https://github.com/plusvic/yara-python


    STA  STAT  RULE  分析器  统计