#1 楼
我不知道为什么没有列出这些样本的另一个来源是virustotal.com。它使您可以执行所谓的“规则集”和“逆向搜索”搜索,它们基本上对通过病毒总数处理的每个样本以及最近三个月中的每个样本运行yara规则。这是一项付费服务,但绝对值得。此图显示了复古搜索和yara搜索网络用户界面:
#2 楼
afaik shadowserver向业务合作伙伴提供了这样的服务(您可以发送yara规则并从蜜罐中获取匹配的样本作为回报),但是没有免费或个人使用的此类服务。为当前的恶意软件样本(可能有各种各样的软件)增加您赢得的蜜罐,或者尝试在自己的恶意软件存储库上运行您的yara规则(即,收集可以从免费资源中找到的所有样本并应用yara规则)。 br />如果您不从事这项业务,您将无法依靠病毒完全情报等服务,这些服务提供了我所知道的最大的恶意软件语料库。
许多社区驱动的或免费的恶意软件样本收集在某个时候失败了。在开始自己的服务时,请注意这一点。
评论
非常感谢Nordwald ..感谢您的宝贵答复。:)
–xoreax
17年4月12日在7:29
#3 楼
因此,让我用Google搜索为您...关于:https://github.com/Neo23x0/signature-base/tree/master/yara
https: //github.com/Yara-Rules/rules
使用
clamav_to_yara.py
使用https://www.yara-generator.net/
评论
感谢您的回复 :)。是否有任何网站可以下载yara规则检测到的样本?
–xoreax
17年4月12日在7:27
@xoreax VT,请参见下面的Nirlzr答案。
–维塔利·奥西波夫(Vitaly Osipov)
17年4月13日在5:17
评论
我很好奇-是否可以获取yara规则以“离线”使用它?
–kn000x
17年4月13日在5:52
有在线yara规则存储库。这是一个示例:github.com/Yara-Rules/rules
– NirIzr
17年4月13日在5:56
我知道github.com/Yara-Rules/rules(请参阅上面的答案)。我认为也许VT管理自己的存储库。
–kn000x
17年4月13日在5:59
我不认为VT出于明显原因会暴露其他用户规则。我认为他们在后端只有一个规则集,但用户只能看到自己的规则。
– NirIzr
17年4月13日在6:03