2014년 9월 30일 화요일

YARA..그 놈 (feat.사랑..그 놈) [STEP 02]

YARA 설치

먼저 설치하는 방법은 간단하다.

OS별 다를것 같지만 설치하는 파일만 다를뿐 그다지 설정을 할것이 없기 때문이다.

https://code.google.com/p/yara-project/downloads/list 여기 링크된 곳을 들어가면 아래의 그림과 같이 설치를 할 수 있는 곳이 나오는데, 자신의 운영체제(OS)에 맞게 설치를 해주면된다.


여기에서는 Ubuntu 14.04.1으로 진행할 것으로,  리눅스용으로 설치를 할 것이다. 
yara-1.7.tar.gz으로 설치를 하겠다.

 설치를 하게되면 다운로드 폴더에 yara-1.7.tar.gz이라는 압축파일이 있는 것을 확인할 수 있다.

터미널을 열고(Ubuntu 는 alt + ctrl + t 명령어로 터미널을 열 수 있다.) 아래의 압축을 푸는 명령어를 입력한다
tar -zxvf yara-1.7.tar.gz
을 입력하면 압축이 풀린 폴더가 생성된다.  폴더로 들어 간다. 그럼 아래와 같은 파일들이 있는 것을 확인 할 수 있다.

여기서 configure이라는 실행파일이 있는 것을 확인 할 수 있다. 시스템 패키지를 설치하는 실행파일인데 이전에 PCRE*, g++파일을 먼저 설치를 해주어야 한다.
sudo apt-get install lipcre3-dev
sudo apt-get install g++ 
보통 g++은 리눅스에 설치가 기본적으로 되어 있는 경우가 많다.

여기서  PCRE(Perl Compatible Regular Expressions)라는 생소한 단어가 나오는데 이를 간단하게 말하면  말그대로의 표현은 Perl 호환 정규 표현식이라는 뜻이다.  PCRE 라이브러리는 Perl 5와 같은 구문과 의미를 사용하여 정규식 패턴 일치를 구현하는 함수의 집합이다.

자체 native API 뿐만아니라  POSIX 정규식 API에 대응하는 래퍼함수의 집합도 포함하고 있다.

자세한 내용은 http://www.pcre.org/ 에서 참고를 하시기 바랍니다.

PCRE를 간단하게 살펴 보았는데 왜 설치를 해야 하는지 이유가 나옵니다. YARA가 패턴으로 악성코드를 탐지하는 기법이라고 했는데, 그중에 정규표현식이 들어 가기 때문이라는 것을 대충 감이 오게 됩니다.

자 간단하게 설치를 마치고 나면 configure 파일을 설치를 해줍니다. 위에서 말했듯이, 시스템 패키지를 설치하는 실행 파일입니다.
./configure
라고 명령어를 입력하게 되면(리눅스에서 실행파일을 실행 시키는 방법은 <[./]실행파일> 라고 입력을 하게 되면 실행이 된다.) 각종 configure에 관련된 파일들이 설치되는 것을 확인 하실 수 있습니다.

다음은 소스코드 패키지 컴파일을 위해서 아래의 명령을 입력한다.
 make
라고 입력을 해줍니다. 다음 (만약 permission denied라고 뜨면 앞에 sudo 권한을 준 후 실행) 설치를 하기 위해서 아래의 명령을 입력한다.
make install
아래의 그림은 위의 절차를 거치고 난 후의 yara-1.7 디렉터리의 파일들이다.

위의 디렉터리 파일내의 그림과, 지금의 그림의 차이가 느껴지십니까? 네. 여기서는 yara라는 실행파일이 생성된 것을 확인 할 수 있습니다.

그럼 되는지 안되는지 확인을 해봐야죠? yara라고 한번 쳐봅니다.


위의 그림 처럼 옵션관련된 것들이 나오는데, 이렇게 뜨면 성공을 한겁니다.

위처럼 리눅스를 이용하여 yara를 설치하는 것을 포스팅하였지만, OS X에서는 리눅스와 사용하는 법이 비슷하기 때문에 이 설치법을 따라하는 것도 문제는 없습니다.

고생하셨습니다. 만약 설치를 하는데 error가 나오거나, 궁금한 것이 있으면, 댓글으로 질문 해주시면 확인 후에 답변 드리겠습니다.

댓글 없음:

댓글 쓰기