IRFuzz:一款基于YARA规则的文档文件扫描工具
source link: https://www.freebuf.com/sectool/251362.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
工具介绍
IRFuzz是一款基于YARA规则的扫描工具,可以帮助广大研究人员扫描文档以及文件。
目前,该工具适用于Linux和macOS操作统平台。
依赖组件
1、 Yara :仅使用了该项目最新发布的源代码,我们需要编译并安装它,或者直接通过pip命令来安装yara-python。
2、Y ara规则 :广大研究人员可以点击【 这里 】下载Yara规则,或导入自己自定义的规则集。
3、Python依赖。
该项目使用了pipenv来管理依赖组件,如需安装依赖组件并激活虚拟环境,请运行下列命令:
$ pipenv install $ pipenv shell
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/oxiqa/IRFuzz.git
工具运行
$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv
支持的功能
- 使用inotify扫描新的文件;
- 如果不支持inotify,则使用轮询方式扫描文件;
- 支持自定义扩展;
- 删除模式将删除匹配的文件;
- 递归目录扫描;
- 使用yara字符串和ctime枚举匹配的Yara函数;
- 以CSV格式存储扫描结果;
自定义扩展
$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .zip,.rar
匹配YARA规则
首先,点击【这里】生成令牌。然后运行下列命令,并在网站中配置匹配警告提醒,这里支持Telegram或电子邮件:
$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --extensions .php --token tokenhere
删除匹配的文件
$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --delete
轮询(如果不支持inotify)
$ python -m watchd.watch ~/tools/IR/ -y rules/maldocs --csv csvfile.csv --polling
添加--poll选项可以强制使用轮询机制来检测数据目录中的修改,这种方式与操作系统底层机制相比,速度要慢很多,但针对SMB文件系统的话,则只能使用这种方式。
默认支持的扩展
Microsoft Office Word支持的文件格式:
.doc .docm .docx .docx .dot .dotm .dotx .odt
Microsoft Office Excel支持的文件格式:
.ods .xla .xlam .xls .xls .xlsb .xlsm .xlsx .xlsx .xlt .xltm .xltx .xlw
Microsoft Office PowerPoint支持的文件格式:
.pot .potm .potx .ppa .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .pptx .pptx
zipdump.py
IRFuzz使用了 zipdump.py 来对ZIP压缩文件进行分析。
项目地址
IRFuzz:【 GitHub传送门 】
Recommend
-
37
Vooki是一款免费且用户界面友好的Web应用漏扫工具,它可以轻松地为你扫描任何Web应用并查找漏洞。Vooki主要包括三个部分,Web应用扫描器,Rest API扫描器以及报告。 Web应用扫描器
-
56
前言 本人是一名立志安全开发的大学生,有一年安全测试经验,有时在刷src的时候,需要检查所有target的web业务系统是否泄露敏感目录、文件,工作量十分庞大,于是 Dirmap...
-
43
今天给大家介绍的是一款名叫Freddy的开源工具,该工具的功能基于主动/被动式扫描,在Freddy的帮助下,研究人员可以快速查找Java和.NET应用程序中的反序列化安全问题。
-
20
See-SURF:一款基于Python的潜在SSRF参数扫描工具 Alpha_h4ck 2020-02-13 15:00:23 149936 1
-
14
Nuclei是一款运行速度非常快且易于使用的扫描工具,它可以帮助研究人员基于模板执行可配置的目标扫描任务,并提供了大量可扩展接口以辅助使用。 Nuclei可以基于模板来跨目标发送请求,能够实现零误报,并且可以帮助研究人员对...
-
17
Kubei Kubei是一款针对Kubernetes集群的实时安全扫描工具,该工具将允许广大研究人员对正在运行的Kubernetes集群进行实时扫描...
-
21
ScanT3r是一款功能强大的Web安全扫描工具,该工具支持检测下列漏洞: 远程代码执行漏洞-Linux; 反射型XSS漏...
-
6
CRLFuzz CRLFuzz是一款功能强大的CRLF漏洞扫描工具,该工具基于Go语言开发,可以帮助广大研究人员以非常快的速度完成CRLF漏洞...
-
19
fscan 一款内网综合扫描工具,方便一键大保健。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描等。 使用go来编写,有较好的扩展性及兼容性,编...
-
7
Second Order:一款功能强大的子域名接管漏洞安全扫描工具-51CTO.COM Second Order:一款功能强大的子域名接管漏洞安全扫描工具 作者:Alpha_h4ck 2022-02-20 18:59:23
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK