YARA 介绍
YARA 是一个旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本的工具。目前使用 YARA
的知名软件有赛门铁克、火眼、卡巴斯基、McAfee、VirusTotal等。
使用 YARA,你可以基于文本或二进制模式创建恶意软件系列(或任何您想要描述的内容)的描述。
每个描述a.k.a规则由一组字符串和一个确定其逻辑的布尔表达式组成。 比如:
rule silent_banker : banker
{
meta:
description = "This is just an example"
thread_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c
}
上述规则说明 YARA 会将任何包含三个字符串之一的文件报告为 silent_banker 。
这只是一个简单的例子,通过使用通配符,不区分大小写的字符串、正则表达式、特殊运算符和许多其他功能,更多可以在 YARA 的文档中了解更复杂和强大的规则。
YARA 可在 Windows、Linux 和 Mac OS X 平台上运行,可以通过其命令行界面或从自己的 Python 脚本中使用 yara-
python 扩展名。
YARA 官网
http://virustotal.github.io/yara/
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。