工具源码

Yara 文档(一)—— 序

凡凡 · 10月15日 · 2019年 55次已读

Yara 是一个能够帮助恶意软件研究人员鉴别和归类恶意样本的工具(但也不是那么绝对)。使用 Yara,你可以创建基于文本和二进制模式的恶意软件家族描述(或者你想描述它任何东西)。每一个描述包含一组字符串和一个布尔表达式来确定它的逻辑。让我们来看一个例子吧:

rule silent_banker : banker
{
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true
    strings:
        $a = { 6A 40 68 00 30 00 00 6A 14 8D 91 }
        $b = { 8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9 }
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
    condition:
        $a or $b or $c
}

上面这条规则会告诉 Yara 如果一个文件中包含了上述三个字符串中的其中一个,那么你必须报导出 silent_banker。这只是一个简单的例子。更多复杂及强壮的规则都是由通配符、不区分大小写字符串,正则表达式、特殊字符及其它特性创建,这些特性你可以在这份文档中寻找到关于它的解释说明。

(本节完)

0 条回应