YarGenというツールを利用してみた
今回はインストールして動かしみた....というところまで
利用したサンプルは横浜国大様から提供していただいたIoT Malwreのデータセット
YarGenをインストール
$ sudo pip3 install pefile cd$ sudo pip3 install scandir lxml naiveBayesClassifier$ wget https://github.com/Neo23x0/yarGen/archive/refs/tags/0.23.4.tar.gz$ tar xvfz 0.23.4.tar.gz$ cd yarGen-0.23.4/$ sudo pip3 install -r requirements.txt$ python3 yarGen.py --update
YarGenを実行
$ python3 yarGen.py -m <データセットを展開したディレクトリ>
結果
UPXなどでパックされているものは、パックの情報となりましたが多くはパックされていないようでシグネイチャらしき情報は取得可能でした。興味深いところはSuper Ruleというものがあり、これは各ファイルのシグネイチャのANDが取れる情報がルールとして保存されるようです。ここのMETA情報にファイルから作られたかという情報があります、これは検体の類似性の1つの情報にならないかな〜と
kouichirou_okada@rainforest.tokyo
0 件のコメント:
コメントを投稿