在官方的亚拉规则存储库git-hub中有一个索引文件。这个:https://github.com/Yara-Rules/rules/blob/master/index.yar
我想用bash或其他语言创建一个脚本,能够将所有的yara文件合并到一个.yar中(比如index.yar(,其中包括我的所有yara文件。我可以手动完成,但问题是有太多的规则无法在脚本中手动写入。
例如,此存储库:https://github.com/citizenlab/malware-signatures/tree/master/malware-families我真的不知道如何创建一个文件来创建一个包含存储库中所有这些yara规则的yara文件
提前感谢你的帮助,我很感激。
我不确定你的问题,但为什么不列出原始yar文件并循环下载呢?在下面的例子中,我下拉3个文件并打印它们,但我去掉了包含行的所有文件名。然后我当然会使用'>'将这个脚本运行到另一个文件中:
示例:
#!/bin/bash
raw_list_urls="https://raw.githubusercontent.com/Yara-Rules/rules/master/index.yar https://raw.githubusercontent.com/Yara-Rules/rules/master/index.yar https://raw.githubusercontent.com/Yara-Rules/rules/master/index.yar"
IFS=' ' read -r -a urls <<< "${raw_list_urls}"
for url in "${urls[@]}" ; do
echo "Getting ${url}" ; sleep 2
curl "${url}" | grep include | cut -d'"' -f2
done
输出示例:
./malware/RAT_ShadowTech.yar
./malware/RAT_Shim.yar
./malware/RAT_Terminator.yar
./malware/RAT_Xtreme.yar
./malware/RAT_ZoxPNG.yar
./malware/RAT_jRAT.yar
./malware/RAT_xRAT.yar
./malware/RAT_xRAT20.yar
./malware/TOOLKIT_Chinese_Hacktools.yar
./malware/TOOLKIT_Dubrute.yar
./malware/TOOLKIT_FinFisher_.yar
./malware/TOOLKIT_Gen_powerkatz.yar
./malware/TOOLKIT_Mandibule.yar
我写了一个小脚本,在本地文件夹中查找*.yar
文件,并使用找到的para规则创建一个索引文件:
for f in $(find . -mindepth 1 ! -path "./$(basename $PWD)_all.yar" -type f -name "*.yar"); do
if [[ "$f" == *"Mobile_Malware"* || "$f" == *"mobile"* ]]; then # exclude Android rules
continue
fi
echo "include "$f"" >> $(basename $PWD)_index.yar;
done;