- yara概述
YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。
- yara规则
yara规则分为两部分:字符串定义和条件表达式部分
例如:匹配jpg图片的规则
Rule jpgtest
{
Strings:
$a={FF D8 FF ??} //图片包含的内容
Condition:
$a
}
然后在文件夹里放入一些图片文件,使用yara命令进行检测:yara.exe -r jpgtest.yar jpg/
匹配文件的yara的规则:
Rule text
{
Strings:
$a=“testtest”
$b=“administrator” fullword //全词匹配
Condition:
$a or $b
}
在文件夹里放入一些txt文件,然后txt文件分别里面放入testtest administrator文件,这样的话yara就可以识别到包含这些关键字的txt文件
若有收获,就点个赞吧
0 人点赞
