Yara

1、Yara的作用：
大量的恶意软件存在功能非常相似，但是文件大小不同，hash值不同。这些“不同”的恶意软件可能具有完全相同的函数和字符串。如果有足够的分析时间，那么安全研究人员自然可以把这些样本归于某一恶意软件的家族里。因此也就开发了诸如沙箱之类，可以批量测试的工具。但是某些恶意软件也会检测沙箱功能来隐蔽自己的行为
因此Yara旨在帮助安全人员来识别和分析恶意样本工具，使用Yara可以快速对恶意软件进行分类和识别。Yara可以创建描述（规则） ，由一组字符串和一个确定其逻辑的布尔表达式组成。

2、Yara Demo

https://github.com/Neo23x0/signature-base
http://github.com/neo23x0/Loki