在Nessus6.7 发布的时候,其就被公布有文件系统扫描的功能比如可以查找特定的位于某磁盘上的文件残骸。这个功能是继6.7版本可以支持运行过程排查功能的一段时间后的又一新特点。现在,作为Nessus6.8版本的一部分,我们引进了YARA到Windows恶意软件扫描子系统里。结合YARA, Nessus6.8可以提供另外一种方法来定义规则并搜索基于文本或者二进制模式的文件。
什么是 YARA?
YARA 是一个开源的恶意代码查杀引擎,最初由VirusTotal的软件工程师
Victor Alvarez 开发。其旨在帮助恶意软件研究人员识别和分类恶意软件样本. YARA 的工作原理是由一系列字符串和一个布尔型表达式构成的描述或者规则来阐述其逻辑,以此来识别和分类恶意软件或者程序。
YARA 规则编写
为了更好地诠释此篇博客,这里我会写几个非常简单的YARA规则。 然而YARA 规则本身的语法是非常复杂和强大的(详情请参见 WritingYARA Rul