반응형
디텍트툴로 많이 알려진 야라(YARA)가 2.0버전으로 업데이트 되었네요.
이번 2.0 버전 업데이트에서는 1.x 버전과는 다른 엄청난 속도를 자랑한다고 합니다.
특히, 1.x 보다 140배 빠르고, 멀티 스레딩을 지원하기 때문에 검사속도를 증가 시켰다고 하네요.
(개인적으로 테스트 해보니, 정말 엄청난 속도를 자랑하고 느린 Rule에 대해서 경고도 보여주는군요!! 굿!!)
야라(YARA)는 현재 많은 곳에서 사용하고 있으나, 가장 유명한 곳은 아래와 같은 곳입니다.
- VirusTotal Intelligence (https://www.virustotal.com/intelligence)
- jsunpack-n (http://jsunpack.jeek.org)
- We Watch Your Website (http://www.wewatchyourwebsite.com)
- FireEye, Inc. (http://www.fireeye.com)
- RSA ECAT (http://www.emc.com/security/rsa-ecat.htm)
- CrowdStrike FMS (https://github.com/CrowdStrike/CrowdFMS)
- ThreatConnect (http://www.threatconnect.com)
아래의 링크에서 야라 홈페이지 및 YARA 2.0 버전을 다운로드 받을 수 있습니다.
- YARA 홈페이지 : http://plusvic.github.io/yara/
- YARA 2.0 프로젝트 : https://github.com/plusvic/yara/releases/tag/v2.0.0
이번 2.0 업데이트에서는 다음과 같이 수정되었습니다.
- 2.0.0 (26/12/2013)
Faster matching algorithm
Command-line scanner is now multi-threaded
Compiled rules can be saved to and loaded from a file
Added support for unbounded jumps
New libyara API
※ Yara 2.0 vs 1.x Speed Test 결과 동영상이 추가됨
댓글