- 1virtualenv 创建虚拟环境_create a virtual environment
- 2【调试工具】Windows和Android端测试工具 - iperf3_iperf3安卓客户端
- 3小兴教你做平衡小车-stm32程序开发(I2C控制OLED显示屏)_stm32 i2coled
- 4Cookie,Session,JWT_cookie有效期一般多久
- 5非root(各种权限受限制的乙方用户)用户安装mysql-8.0.32_非root用户安装mysql8
- 6Leetcode 238_leetcode238
- 7银河麒麟V10之达梦8安装配置_银河麒麟v10 sp3安装达梦v8
- 8stm32f103c8t6学习笔记(学习B站up江科大自化协)-看门狗【WDG】_stm32f103c8t6看门狗
- 9“波吉向你发出学习邀请”,数据结构之单双向链表_建立一个非递减有序单链表(不少于5个元素结点),输出该链表中重复的元素以及重复次
- 10【圆梦云出品】weiphp使用视频教程,无广告
yara编译过程全记录_yara-master
赞
踩
yara安装过程:
1、环境说明:centos5.10
2、github下载yara-4.1.x
3、自带automake 1.9.6、autoconf 2.59、libtool 1.5.22、gcc 4.1.2
4、automake版本太低,要求1.12+,无法编译,升级automake、autoconf、libtool
automake 1.9.6 --> 1.16.3
autoconf 2.59 --> 2.71
libtool 1.5.22 --> 2.4.6
5、执行build.sh正常,可使用yara检测自带规则
执行configure过程发现,提示未找到openssl,无法编译hash模块,看代码后,发现使用openssl只为hash,暂时忽略。
因项目要求,尽量使用静态库编译,到时候升级无需在环境安装依赖项。
编译yara、yarac依赖静态libyara.a:
不太了解automake的机制,所以没找到指定为静态编译的地方。
解决方案:(笨办法)
修改Makefile.am的yara_LDADD和yarac_LDADD,将-lyara 改为libyara/.libs/libyara.a
从github下载rule_master,想借用现有的规则库,测试一下检出率,学习一点已有的、开源的规则,前面提到hash模块编译失败,所以,在使用yarac编译rule_master的规则二进制文件时,提示找不到hash,因此重新排查;
1、本机有openssl,版本为0.9.8,但是没有openssl头文件,所以未编译进去。
2、sudo yum install openssl-devel.x86_64 安装openssl头文件
3、重新执行configure,提示找到openssl相关库和头文件
4、重新编译yara,提示libyara.c的_thread_id(CRYPTO_THREADID *id) *前应该是结束符。
分析原因,应该是无法识别CRYPTO_THREADID。上网找了一下CRYPTO_THREADID_set_callback是1.0.0后版本才出现,代码中只要求版本<1.1的使用锁保证线程安全,所以估计默认openssl要求1.0以上。
5、下载openssl,直接下载的较新版本1.1.1j,编译报错,Perl版本太低,要求5.30以上
6、下载Perl 5.34.0,安装perl,再安装openssl
7、重新执行yara的configure,成功找到openssl,执行make,编译yara出错,提示libcryrpto.a找不到dlopen等符号;
8、查找原因需要在链接中,添加-ldl,因为Makefile是直接生成的,所以这里直接在configure.ac的85行模拟libm.a的查找办法,添加AC_CHECK_LIB(dl, isnan),也不知道对不对。
9、重新执行configure,make成功
10、yarac重新编译rule_master,hash模块的报错过去,又找不到cuckoo,哭唧唧
上网找到这个,按步骤操作,开启cuckoo和其他模块
https://blog.csdn.net/weixin_40596016/article/details/80076632
./configure --with-crypto --enable-cuckoo --enable-dotnet CFLAGS=-fPIC
-- 未安装magic模块,没找到file-dev或libmagic-dev
之后,yarac编译rule_master成功
不需要 --disable-shared,这个标签会将整个项目编译为.la
工程编译为so,将libyara.a关联到so中,成为一个so。
-- 编译libyara时,使用noinst_LTLIBRARIES = libyara.la
-- 依赖时,libhids_webshell_la_LIBADD = libyara.la 这样,libhids_webshell.so编译出来就不依赖动态so了
---------------------------- 依赖静态jansson和crypto
1、编译jansson
修改Makefile.am 和 Makefile.in AM_CFLAGS 加上-fPIC 这一步是为了生成.o时,也使用-fPIC,这样才不会报不可移植
*** Warning: Linking the shared library libhids_webshell.la against the
*** static library /usr/local/lib/libjansson.a is not portable!
/usr/bin/ld: /usr/local/lib/libjansson.a(utf.o): relocation R_X86_64_32 against `a local symbol' can not be used when making a shared object; recompile with -fPIC
./configure CFLAGS=-fPIC
make clean
make
可以通过 readelf --relocs utf.o | egrep '(GOT|PLT|JU?MP_SLOT)' 查看.o文件,有输出基本是用-fPIC编译的
sudo make install
2、编译openssl
./config --prefix=/usr/local/openssl -fPIC
3、编译yara
Make file.am libyara/Makefile.am 修改AM_CFLAGS, 开始的位置加上-fPIC
./configure --with-crypto --enable-cuckoo --enable-dotnet CFLAGS=-fPIC
- yara64 ...
赞
踩
