yara规则--编写
rule dummy
{condition:false
}
一、规则标识符
- 英文字母、数字、下划线组成的字符串
- 第一个字符不能是数字
- 对大小写敏感
- 不能超出128个字符长度
二、注释
三、字符串
3.1、十六进制字符串
rule WildcardExample
{strings:// 使用‘?’作为通配符$hex_string = { 00 11 ?? 33 4? 55 }condition:$hex_string
}
这个规则可以匹配下面的两个字符串:
{strings:// 使用‘[]’作为跳转,与任何长度为0-2字节的内容匹配$hex_string1 = { 00 11 [2] 44 55 }$hex_string2 = { 00 11 [0-2] 44 55 }// 该写法与string1作用完全相同$hex_string3 = { 00 11 ?? ?? 44 55 }condition:$hex_string1 and $hex_string2
}
rule BuzzLightyear
{strings:$hex_string = { F4 23 [-] 62 B4 }condition:$hex_string
}
rule AlternativesExample1
{strings:$hex_string = { 00 11 ( 22 | 33 44 ) 55 }condition:$hex_string
}
{strings:$hex_string = { 00 11 ( 33 44 | 55 | 66 ?? 88 ) 99 }condition:$hex_string
}
3.2、文本字符串
rule CaseInsensitiveTextExample
{strings:// 不区分大小写$text_string = "foobar" nocase// 匹配宽字符串$wide_string = "Borland" wide// 同时匹配2种类型的字符串$wide_and_ascii_string = "Borland" wide ascii// 匹配所有可能的异或后字符串$xor_string = "This program cannot" xor// 匹配所有可能的异或后wide ascii字符串$xor_string = "This program cannot" xor wide ascii// 限定异或范围$xor_string = "This program cannot" xor(0x01-0xff)// 全词匹配(匹配:www.domain.com 匹配:www.my-domain.com 不匹配:www.mydomain.com)$wide_string = "domain" fullword// 私有字符串可以正常匹配规则,但是永远不会在输出中显示$text_string = "foobar" privatecondition:$text_string
}
3.3、正则表达式
rule RegularShow
{strings:$re1 = /md5: [0-9a-fA-F]{32}/$re2 = /state: (on|off)/condition:$re1 and $re2
}
四、条件表达式
all any them
#
@
!
at
in
filesize
entrypoint
of
for xxx of xxx :(xxx)
引用其它规则
全局规则
私有规则
规则标签
导入模块
外部变量
文件包含
五、参考
yara规则--编写相关推荐
- 情报运营 | VirusTotal Hunting 笔记 - 自动生成YARA规则、通过YARA规则实时打捞VT样本
VirusTotal VT是一个提供可疑文件分析服务的网站,它与传统杀毒软件的不同之处是它通过多种反病毒引擎扫描文件.所上传的文件会被多种反病毒引擎对进行扫描检测,可以通过结果信息进行参考,判断文件是 ...
- 编写yara规则 检测恶意软件
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例 ...
- 编写yara规则,检测恶意软件(自定义yara规则)
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: rule HelloRule {condition:false } 规则标识符 规则标识符是上面简单规则示例中跟 ...
- 静态扫描之Yara第二话--编写yara规则(1)
编写简单高效的yara规则(1) 翻译自:https://www.bsk-consulting.de/2015/02/16/write-simple-sound-yara-rules/ 在过去的两年里 ...
- 应急响应-Yara规则木马检测
Yara规则介绍 Yara是一个基于规则的恶意样本分析工具,可以帮助安全研究人员和蓝队分析恶意软件,并且可以在应急取证过程中自定义检测规则来检测恶意软件,Yara支持有木马文件落盘和无木马文件落盘(内 ...
- yara规则--构建yara规则库
零.快速构建yara规则库的方案 Yara官方预置的规则库,链接 https://github.com/Yara-Rules/rules ClamAV的特征码转换为yara规则,利用工具clamav ...
- CVE-2018-1273漏洞复现日志+IDS规则编写
CVE-2018-1273(Spring Data Commons) 远程命令执行漏洞 漏洞描述: Spring Data Commons(1.13至1.13.10之前的版本,2.0至2.0.5的版本 ...
- CCleaner 垃圾文件清理规则 编写指南
以下内容的英文版本来源于 CCleaner 官方论坛,仅供参考.欢迎大家编写并分享针对常用国产软件的垃圾文件清理规则! 需要说明的是规则文件(Winapp2.ini)需和程序文件放于同一文件夹下,才能 ...
- 火车头采集之采集规则编写
文章目录[隐藏] 前言 目标网站分析 火车头采集器使用(mip.chiyuba.com 可搜索下载) 总结 前言 上一篇火车头采集系列主要给大家一个引导作用,让大家简单了解火车头采集器有什么功能,从次 ...
最新文章
- 只想安安静静的做个程序员
- java报错只有一个数字4,Java 报错 illegal Key Size
- 【Linux学习】epoll详解
- 数字图像基础,论坛,算法库matlab,opencv,halcon
- eclipse中添加aptana插件(html.css.js自动提示)
- Jungle Roads//最小生成树kruskal
- 明星AI芯片公司Graphcore获红杉5000万美元投资
- lightgbm algorithm case of kaggle(上)
- 在计算机桌面中选择了隐藏如何显示不出来的,电脑桌面文件被隐藏了怎么办
- 从命名风格等方面解读阿里巴巴 Java 代码规范
- android webview 清除缓存,Android webView 缓存处理
- firefox硬件加速 linux,火狐浏览器硬件加速相关资料以及开启关闭火狐硬件加速方法...
- html怎么在搜索框中加图片,html – 如何在搜索框中添加图标
- 苹果cms设置本地播放器 ckplayer(版本:ckplayerx)
- 【题解】Luogu P5405 [CTS2019]氪金手游
- 【noip模拟题】天神下凡(贪心)
- layui自定义工具栏
- RAD Studio 10.4 for delphi XE Assigned和Nil的联系与区别
- 【论文学习】《Who is Real Bob? Adversarial Attacks on Speaker Recognition Systems》
- spool导出多列去空格
热门文章
- 计算机类sci中接受综述么,SCI期刊接受的5大类型文章
- 憨批的语义分割重制版11——Keras 搭建自己的HRNetV2语义分割平台
- 软件测试中如何测试算法?
- error C2041: illegal digit ‘9‘ for base ‘8‘ | error C2059: syntax error: ‘bad suffix on number‘
- 惠普暗影精灵命令中心linux,暗影精灵2成功装上Sierra 12.5正式版
- python 实现多核 CPU 并行计算
- 五大要求让BPM与企业对接
- 2021年上海市安全员C证考试报名及上海市安全员C证试题及解析
- linux磁盘扩容:新增磁盘、原磁盘扩容、home/root分区扩容
- 网络交互实验实验总结