昨天安裝了大部分的套件，今天要繼續安裝YARA，我們會用YARA做行為和模式比對。首先安裝一些必需套件

#sudo apt-get install g++ autoconf automake libtool python-dev libpcre3-dev libpcre3 make gcc flex bison
#pip install psutil
#pip install tldextract

目前從YALIH下載的版本是Yara 3.9.0，使用以下指令

#cd req
#tar -xzvf 3.9.0.tar.gz
#cd yara-3.9.0
#./build.sh
#./configure
#make
#sudo make install

完成後用以下指令確認安裝完成

make check

因為我們是要用Python來使用YARA，必須安裝yara for python

#cd yara-python
#python setup.py build
#python setup.py install
#echo "/usr/local/lib" >> /etc/ld.so.conf
#ldconfig

或者直接用

pip install yara-python

安裝python-magic

#pip install python-magic

也可以直接從網頁上下載安裝，選擇適合本機上python版本的python-magic版本
https://pypi.python.org/pypi/python-magic/
安裝適合的版本

#easy_install (your link)

安裝完畢後，記得往上回朔到yalih資料夾，先更新

#python honeypot.py --update

如果我們有個可疑的URL www.somelink.com ，那怎麼用YALIH去研究它呢？首先使用

#python honeypot.py --url www.somelink.com

如果是很多URL我們不需要一個一個 輸入，可以直接讀取一個存有各個URL的文件

#python honeypot.py --file /opt/somefile-that-contains-a-list-of-suspecious-URLs.txt

在client honeypot跑的時候，可以看到它試著存取網站URL，並用ClamAV去掃描。

初步安裝完成測試後，明天我們再來介紹測試YALIH進一步的功能，看YALIH怎麼檢視造訪的網站URL是否有問題。

「在戰場上什麼東西都是武器」--《火鳳燎原》