YARA

说明手册

下载地址

参数

英文版

  1. YARA 4.2.0, the pattern matching swiss army knife.
  2. Usage: yara [OPTION]... [NAMESPACE:]RULES_FILE... FILE | DIR | PID
  3. Mandatory arguments to long options are mandatory for short options too.
  4. --atom-quality-table=FILE path to a file with the atom quality table
  5. -C, --compiled-rules load compiled rules
  6. -c, --count print only number of matches
  7. -d, --define=VAR=VALUE define external variable
  8. --fail-on-warnings fail on warnings
  9. -f, --fast-scan fast matching mode
  10. -h, --help show this help and exit
  11. -i, --identifier=IDENTIFIER print only rules named IDENTIFIER
  12. --max-process-memory-chunk=NUMBER set maximum chunk size while reading process memory (default=1073741824)
  13. -l, --max-rules=NUMBER abort scanning after matching a NUMBER of rules
  14. --max-strings-per-rule=NUMBER set maximum number of strings per rule (default=10000)
  15. -x, --module-data=MODULE=FILE pass FILE's content as extra data to MODULE
  16. -n, --negate print only not satisfied rules (negate)
  17. -N, --no-follow-symlinks do not follow symlinks when scanning
  18. -w, --no-warnings disable warnings
  19. -m, --print-meta print metadata
  20. -D, --print-module-data print module data
  21. -e, --print-namespace print rules' namespace
  22. -S, --print-stats print rules' statistics
  23. -s, --print-strings print matching strings
  24. -L, --print-string-length print length of matched strings
  25. -g, --print-tags print tags
  26. -r, --recursive recursively search directories
  27. --scan-list scan files listed in FILE, one per line
  28. -z, --skip-larger=NUMBER skip files larger than the given size when scanning a directory
  29. -k, --stack-size=SLOTS set maximum stack size (default=16384)
  30. -t, --tag=TAG print only rules tagged as TAG
  31. -p, --threads=NUMBER use the specified NUMBER of threads to scan a directory
  32. -a, --timeout=SECONDS abort scanning after the given number of SECONDS
  33. -v, --version show version information
  34. Send bug reports and suggestions to: vmalvarez@virustotal.com.

中文版

  1. --atom-quality-table=FILE 带有原子质量表的文件的路径
  2. -C, --compiled-rules 加载编译规则
  3. -c, --count 仅打印匹配数
  4. -d, --define=VAR=VALUE 定义外部变量
  5. --fail-on-warnings 警告失败
  6. -f, --fast-scan 快速匹配模式
  7. -h, --help 显示此帮助并退出
  8. -i, --identifier=IDENTIFIER 仅打印名为 IDENTIFIER(输入字符串)” 的规则
  9. --max-process-memory-chunk=NUMBER 在读取进程内存时设置最大块大小(默认=1073741824
  10. -l, --max-rules=NUMBER 匹配 NUMBER(输入数字)” 条规则后中止扫描
  11. --max-strings-per-rule=NUMBER 设置每个规则的最大字符串数(默认值=10000
  12. -x, --module-data=MODULE=FILE FILE 的内容作为额外数据传递给 MODULE
  13. -n, --negate 只打印不满足的规则(否定)
  14. -N, --no-follow-symlinks 扫描时不要跟随符号链接
  15. -w, --no-warnings 禁用警告
  16. -m, --print-meta 打印元数据
  17. -D, --print-module-data 打印模块数据
  18. -e, --print-namespace 打印规则的命名空间
  19. -S, --print-stats 打印规则的统计信息
  20. -s, --print-strings 打印匹配的字符串
  21. -L, --print-string-length 打印匹配字符串的长度
  22. -g, --print-tags 打印标签
  23. -r, --recursive 递归搜索目录
  24. --scan-list 扫描 FILE 中列出的文件,每行一个
  25. -z, --skip-larger=NUMBER 扫描目录时跳过大于给定大小的文件
  26. -k, --stack-size=SLOTS 设置最大堆栈大小(默认=16384
  27. -t, --tag=TAG 仅打印标记为 TAG(输入字符串)” 的规则
  28. -p, --threads=NUMBER 使用指定的线程数扫描目录
  29. -a, --timeout=SECONDS 在给定的秒数后中止扫描
  30. -v, --version 显示版本信息

功能

打印

  1. -c, --count 仅打印匹配数
  2. -i, --identifier=IDENTIFIER 仅打印名为 IDENTIFIER(输入字符串)” 的规则
  3. -n, --negate 只打印不满足的规则(否定)
  4. -m, --print-meta 打印元数据
  5. -D, --print-module-data 打印模块数据
  6. -e, --print-namespace 打印规则的命名空间
  7. -S, --print-stats 打印规则的统计信息
  8. -s, --print-strings 打印匹配的字符串
  9. -L, --print-string-length 打印匹配字符串的长度
  10. -g, --print-tags 打印标签
  11. -t, --tag=TAG 仅打印标记为 TAG(输入字符串)” 的规则
  12. -w, --no-warnings 禁用警告

其他

  1. --atom-quality-table=FILE 带有原子质量表的文件的路径
  2. -C, --compiled-rules 加载编译规则
  3. -d, --define=VAR=VALUE 定义外部变量
  4. --fail-on-warnings 警告失败
  5. -f, --fast-scan 快速匹配模式
  6. -h, --help 显示此帮助并退出
  7. --max-process-memory-chunk=NUMBER 在读取进程内存时设置最大块大小(默认=1073741824
  8. -l, --max-rules=NUMBER 匹配 NUMBER(输入数字)” 条规则后中止扫描
  9. --max-strings-per-rule=NUMBER 设置每个规则的最大字符串数(默认值=10000
  10. -x, --module-data=MODULE=FILE FILE 的内容作为额外数据传递给 MODULE
  11. -N, --no-follow-symlinks 扫描时不要跟随符号链接
  12. -r, --recursive 递归搜索目录
  13. --scan-list 扫描 FILE 中列出的文件,每行一个
  14. -z, --skip-larger=NUMBER 扫描目录时跳过大于给定大小的文件
  15. -k, --stack-size=SLOTS 设置最大堆栈大小(默认=16384
  16. -p, --threads=NUMBER 使用指定的线程数扫描目录
  17. -a, --timeout=SECONDS 在给定的秒数后中止扫描
  18. -v, --version 显示版本信息