- 博客(8)
- 收藏
- 关注
RSS订阅原创 YARA:第七章-模块使用之PE
模块是对Yara检测功能的扩展。一些模块例如PE、Cukoo等模块是Yara正式支持的模块,随Yara正式发布。当然,用户可以根据自己的需求创建自己的模块集成到Yara程序中。Yara支持在规则文件中导入模块对象,这些导入语句一般放在文件的开始部分,使用关键字"import"和模块名。接下来我们就可以使用所导入模块所支持的函数或者变量。
2024-07-12 07:00:00
501
原创 YARA:第六章-更多关于规则
Yara规则除了字符串、条件快外,还有其它的一些功能也十分重要。包括全局规则(global rules),私有规则(private rules),标签(tags)和元数据(metadata)。
2024-07-11 07:00:00
371
原创 YARA:第五章-条件块
Yara中条件块和编程语言中的布尔表达式类似,例如if语句。它可以包含一些常见的布尔运算符,例如"and"、"or"、"not";关系运算符,例如">="、""、"
2024-07-10 07:00:00
905
原创 YARA:第二章-字符串之十六进制字符串(一)
Yara规则很容易编写和理解,它的语法很像C语言。下面是一个简单的YARA规则,且此条规则不检测任何信息。Yara规则的编写始于"rule"关键字,随后是规则的标识符(rule identifier)。这个标识符遵循C语言的命名规则,允许使用字母、数字、下划线,但不允许以数字开头。同时,标识符对大小写敏感,并且其长度不得超过128个字符。和。如果规则不依赖于任何字符串,则可以省略字符串块部分,但条件块总是必需的。字符串块中包含至少一个字符串。每个字符串都有一个。
2024-07-07 09:11:29
287
原创 YARA:第一章-启动参数
YARA 是一个多功能的恶意软件分析工具,它允许用户创建描述性规则来识别和分类文件,尤其是恶意软件。YARA 的核心是规则引擎,它支持通过文本或二进制模式创建规则,这些规则可以包含字符串和逻辑表达式,提供高度的可定制性。YARA 的规则集可以利用通配符、不区分大小写的字符串、正则表达式等高级功能,使得规则编写更为灵活。只有此参数指定的Tab规则命中时打印输出,其它的忽略。指定Yara规则字符串的最大长度,默认是10000,如果超过则启动时会报错。打印不适用的规则,也就是本次扫描没有命中的规则。
2024-07-05 13:59:10
460
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人