YARA:第二章-字符串之十六进制字符串(一)

已于 2024-07-09 09:54:55 修改
阅读量287 收藏 4
点赞数 5
分类专栏: YARA 文章标签: c语言 安全威胁分析
于 2024-07-07 09:11:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29490749/article/details/140241393
版权

1.简介

        Yara规则很容易编写和理解,它的语法很像C语言。下面是一个简单的YARA规则,且此条规则不检测任何信息。

rule dummy
{
    condition:
        false
}

        Yara规则的编写始于"rule"关键字,随后是规则的标识符(rule identifier)。这个标识符遵循C语言的命名规则,允许使用字母、数字、下划线,但不允许以数字开头。同时,标识符对大小写敏感,并且其长度不得超过128个字符。

        规则通常由两部分组成:字符串块(strings block)条件块(condition block)。如果规则不依赖于任何字符串,则可以省略字符串块部分,但条件块总是必需的。字符串块中包含至少一个字符串。每个字符串都有一个标识符(string identifier),由一个$字符开始,后跟一串字母数字字符和下划线组成,这些标识符可以在条件部分中用来引用相应的字符串。字符串可以以文本或十六进制形式定义,如下例所示:

rule ExampleRule
{
    strings:
        $my_text_string = "text here"
        $my_hex_string = { E2 34 A1 C8 23 FB }

    condition:
        $my_text_string or $my_hex_string
}

        "rule"关键字标识着规则开始,ExampleRule是规则标识符。

        "string:"标识着字符串块开始,后面包含两个字符串规则,分别是$my_text_string和$my_hex_string。

        "condition"标识着条件快开始,后面包含条件规则。

2. 字符串块

        在YARA中,有三种类型的字符串:十六进制字符串文本字符串正则表达式。十六进制字符串用于定义原始的字节序列,而文本字符串和正则表达式则适用于定义可读文本的部分。

2.1 十六进制(Hex Strings)

        下面是一个包含十六进制字符串规则的示例。字符串标识符 $hex_string 代表的是一个十六进制规则,其内容由花括号{}包裹,并且其中的十六进制数值以空格分隔。

rule WildcardExample
{
    strings:
        $hex_string = { Aa Bb Cc Dd Ee }

    condition:
        $hex_string
}

        十六进制字符串支持4个特殊的字符,分别是"~"、"?"、"[]"、"()"。

        其中"?"类似于通配符,用于表示任何值(0~F)。示例如下:

rule WildcardExample
{
    strings:
        $hex_string = { E2 34 ?? C8 A? FB }  // 其中?可以表示任何值。

    condition:
        $hex_string
}

        其中"~"表示否定的意思。示例如下:

rule NotExample
{
    strings:
        // 这里~00表示匹配时,第三个字节不能为00
        $hex_string = { F4 23 ~00 62 B4 }   
        // 这里~?0表示匹配时,第三个字节不能为后四比特为0的值
        $hex_string2 = { F4 23 ~?0 62 B4 } 
    condition:
        $hex_string and $hex_string2
}

        其中"[]"适用于表示字节数量不确定,当不确定所匹配块长度,但是清楚部分关键字时可以使用。示例如下:

rule JumpExample
{
    strings:
        // [4-6]表示中间有4-6个字节长度的任意数据。
        $hex_string1 = { F4 23 [4-6] 62 B4 }
        // [4]表示中间有4个字节长度的任意数据。
        $hex_string2 = { F4 23 [4] 62 B4 }
        // [4-4]表示中间有4个字节长度的任意数据。
        $hex_string3 = { F4 23 [4-4] 62 B4 }
        // [4-]表示中间有至少有4个字节的数据,或者更多。
        $hex_string4 = { F4 23 [4-] 62 B4 }
        // [-]等价于[0-]]表示中间有任意多字节数据,或者没有。
        $hex_string5 = { F4 23 [-] 62 B4 }
        
    condition:
        $hex_string
}

        其中"()"包含或的概念。示例如下:

rule AlternativesExample1
{
    strings:
        // 表示从第三字节开始,可以是62 B4或者56中的任意一个。
        $hex_string1 = { F4 23 ( 62 B4 | 56 ) 45 }
        // "()"中可以包含其它字符,如"?"。
        $hex_string2 = { F4 23 ( 62 B4 | 56 | 45 ?? 67 ) 45 }
    condition:
        $hex_string
}

_只道当时是寻常
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
YARA字符串匹配
无与伦比BLOG
09-28 5253
最近得知 一个开源的工程 YARA ,上网查了一下,获得一下资料 1、YARA——恶意软件模式匹配利器    http://sec.chinabyte.com/419/12863919.shtml 2、http://yara.readthedocs.io/en/v3.5.0/capi.html#c.yr_rules_scan_file WINDOWS 使用VS2015
chef-yara:安装 YARA 恶意软件研究工具的 Chef Cookbook
06-12
要禁用安装 yara-python 设置以下属性: default[:yara][:install_yara_python] = false测试 bundle install # Run Unit and Lint Tests bundle exec rake # Run Test-Kitchen Integration Tests kitchen test贡献...
YARA:第三章-字符串之文本字符串(二)
qq_29490749的博客
07-08 775
Yara文本字符串规则格式详解。
YARA:第四章-字符串之正则表达式(三)
qq_29490749的博客
07-09 373
正则表达式是Yara最强大的功能之一,用户可以通过编写正则表达式来作为匹配规则。
YARA:第七章-模块使用之PE
qq_29490749的博客
07-12 501
模块是对Yara检测功能的扩展。一些模块例如PE、Cukoo等模块是Yara正式支持的模块,随Yara正式发布。当然,用户可以根据自己的需求创建自己的模块集成到Yara程序中。Yara支持在规则文件中导入模块对象,这些导入语句一般放在文件的开始部分,使用关键字"import"和模块名。接下来我们就可以使用所导入模块所支持的函数或者变量。
YARA:第一章-启动参数
qq_29490749的博客
07-05 460
YARA 是一个多功能的恶意软件分析工具,它允许用户创建描述性规则来识别和分类文件,尤其是恶意软件。YARA 的核心是规则引擎,它支持通过文本或二进制模式创建规则,这些规则可以包含字符串和逻辑表达式,提供高度的可定制性。YARA 的规则集可以利用通配符、不区分大小写的字符串、正则表达式等高级功能,使得规则编写更为灵活。只有此参数指定的Tab规则命中时打印输出,其它的忽略。指定Yara规则字符串的最大长度,默认是10000,如果超过则启动时会报错。打印不适用的规则,也就是本次扫描没有命中的规则。
YARA:第八章-模块使用之ELF
最新发布
qq_29490749的博客
07-13 600
ELF模块支持解析ELF格式文档,供用户更加灵活的判断ELF类型的文件。
YARA:第五章-条件块
qq_29490749的博客
07-10 905
Yara中条件块和编程语言中的布尔表达式类似,例如if语句。它可以包含一些常见的布尔运算符,例如"and"、"or"、"not";关系运算符,例如">="、""、"
YARA:第六章-更多关于规则
qq_29490749的博客
07-11 371
Yara规则除了字符串、条件快外,还有其它的一些功能也十分重要。包括全局规则(global rules),私有规则(private rules),标签(tags)和元数据(metadata)。
MacOS M1 安装yarayara-python,yara-python未成功
Aggy阿吉的博客
04-05 408
yara-python 、yara
Yara: Yet Another RSS Aggregator-开源
05-13
在提供的压缩包文件"yara-1.1.00"中,可能包含了Yara的源代码、编译脚本、文档、示例以及测试用例。对于想要在项目中使用或贡献于Yara的开发者来说,这个包提供了所有必要的资源。通常,用户需要遵循以下步骤来使用...
clamav-yara:将Clamav病毒数据库定义转换为YARA规则[GOLANG]
05-09
MDB和MSB也可以完成,但是需要找到一种方法来生成适当的YARA规则。 === 如何产生规则 git clone https://github.com/sec51/clamav-yara.git go build go test -v ./clamav-yara 然后,您可以在rules文件夹中找到...
Python-基于二进制代码生成YARA规则
08-10
在这个例子中,我们定义了一个简单的YARA规则,搜索包含"HELLO"字符串的二进制文件。然后,我们读取一个二进制文件,并使用`yara.compile`编译规则,最后使用`rules.match`检查二进制数据是否符合规则。 实际应用中...
eslint-config-yaraYara Digital Labs JavaScript样式指南
02-04
Yara Digital Labs JavaScript样式指南 用法 我们导出两种ESLint配置供您使用,原始JavaScript和React。 Yara Digital Labs JavaScript样式指南 我们的默认导出包含我们所有的ESLint规则,包括ECMAScript 6+。 它...
MFC常用数据类型类:CRect
qingttqing的博客
07-12 684
MFC数据类型类:CRect
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1076
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
工作述职报告PPT模板 (25)
07-12
【作品名称】:工作述职报告PPT模板 (25) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
H公司项目管理基础培训两份材料.pptx
07-12
H公司项目管理基础培训两份材料.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_只道当时是寻常

打赏不得超过工资的一半呦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值