关于yara规则我就不做多的介绍了,这篇文章只是记录一下它的简单使用方法,我曾经较长时间不使用时忘记了它的使用方法了,遂记录一下。
yara官方下载链接:https://github.com/VirusTotal/yara/releases
yara官方文档说明:https://yara.readthedocs.io/en/v3.7.0/index.html
在我图中看到的yara32.exe和yarac32.exe都是官方下载的。
格式:yara32.exe yara规则 扫描的样本
9.18【更新】
最近在使用yara规则时,发现我的字符串是从样本中提取出来的,但是却匹配不上,导致我的规则一直无法上线,终于找到原因了,遂记录一下,原来在样本中的字符串统一使用的宽字符,然而yara默认的扫描格式ascii码格式,所以导致我提取的字符串一直无法匹配,希望各位在使用yara时也注意下这个问题,虽然是个小问题,但你没找到根源的情况下,还是很花费时间。
//以下示例是从Yara官方文档中抽取的
//从官方的示例中也能看出,可以把 wide ascii一起联合使用
//不管你需要匹配的恶意字符串使用的是宽字符还是ascii,都可以做到一劳永逸的匹配效果
rule WideCharTextExample2
{
strings:
$wide_and_ascii_string = "Borland" wide ascii
condition:
$wide_and_ascii_string
}