freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

IRFuzz:一款基于YARA规则的文档文件扫描工具
2020-10-02 14:38:17

工具介绍

IRFuzz是一款基于YARA规则的扫描工具,可以帮助广大研究人员扫描文档以及文件。

目前,该工具适用于Linux和macOS操作统平台。

依赖组件

1、Yara:仅使用了该项目最新发布的源代码,我们需要编译并安装它,或者直接通过pip命令来安装yara-python。

2、Yara规则:广大研究人员可以点击【这里】下载Yara规则,或导入自己自定义的规则集。

3、Python依赖。

该项目使用了pipenv来管理依赖组件,如需安装依赖组件并激活虚拟环境,请运行下列命令:

$ pipenv install

$ pipenv shell

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/oxiqa/IRFuzz.git

工具运行

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv

支持的功能

  • 使用inotify扫描新的文件;
  • 如果不支持inotify,则使用轮询方式扫描文件;
  • 支持自定义扩展;
  • 删除模式将删除匹配的文件;
  • 递归目录扫描;
  • 使用yara字符串和ctime枚举匹配的Yara函数;
  • 以CSV格式存储扫描结果;

自定义扩展

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .zip,.rar

匹配YARA规则

首先,点击【这里】生成令牌。然后运行下列命令,并在网站中配置匹配警告提醒,这里支持Telegram或电子邮件:

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .php --token tokenhere

删除匹配的文件

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --delete

轮询(如果不支持inotify)

$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --polling

添加--poll选项可以强制使用轮询机制来检测数据目录中的修改,这种方式与操作系统底层机制相比,速度要慢很多,但针对SMB文件系统的话,则只能使用这种方式。

默认支持的扩展

Microsoft Office Word支持的文件格式:

.doc .docm .docx .docx .dot .dotm .dotx .odt

Microsoft Office Excel支持的文件格式:

.ods .xla .xlam .xls .xls .xlsb .xlsm .xlsx .xlsx .xlt .xltm .xltx .xlw

Microsoft Office PowerPoint支持的文件格式:

.pot .potm .potx .ppa .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .pptx .pptx

zipdump.py

IRFuzz使用了zipdump.py来对ZIP压缩文件进行分析。

项目地址

IRFuzz:【GitHub传送门

本文作者:, 转载请注明来自FreeBuf.COM

# 文件扫描
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑