[分享] 一个基于 YARA 的内存/文件扫描器

目前只支持 Windows，建议管理员权限运行。
基于 YARA 库的，编译之后无法将 libcrypto-3-x64.dll 打包进程序，因此用 Enigma Virtual Box 打包了一下。
本来考虑内置规则的，但是一般情况下规则都不是固定的，因此没内置。
文件扫描的规则资料直接参考 yara 官网。
自己编写内存扫描的规则的时候，可以用 010Editor 这种十六进制工具将进程内存 dump 出来之后找特征。
用法如下：
-p, --path Path to file or directory to scan
-r, --rules <rules.yar> Path to YARA rule file or directory
--pid <pid1,pid2,...> One or more PIDs to scan (comma-separated)
--all-processes Scan all running processes
-h, --help Show this help message
示例:

yaraScanner --pid 1234 -r rules.yar
yaraScanner --all-processes -r ./myrules/
yaraScanner -p C:\FilesToScan --rules rules_dir

默认打印帮助信息：

win10 运行：

win7 SP1 运行：

不支持 XP


[培训]《冰与火的战歌：Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-287740.htm

第一次使用这种工具， 非常方便， 以前只知道用x64dbg在内存中搜索，使用这个批量搜索指定目录下面的所有文件，解决了一个大难题

感谢分享~