2022年04月02日
【51CTO.com快译】市面上有众多不同的工具来检测企业网络面临的威胁。其中一些检测基于网络特征,而另一些检测基于公司端点或服务器上的文件或行为。这些解决方案大多使用现有规则来检测危险,但愿这些规则经常更新。但是当安全人员想要添加自定义规则用于检测或使用特定规则在端点上执行自己的事件响应时,会发生什么?这时候YARA 派得上用场。
一、YARA简介
YARA 是一个免费开源工具,旨在帮助安全人员检测和分类恶意软件,但它不应仅限于这一种用途。YARA规则还可以帮助检测特定文件或您可能想要检
2022年04月02日
【51CTO.com快译】本文介绍如何编写YARA规则以充分利用它。
使用空模板开始入手
YARA规则是文本文件,遵循基本但强大的语法。
YARA规则包含三部分:
元部分:这部分包含未处理但帮助用户了解内容的一般或特定的信息。
字符串部分:这部分包含需要在文件中搜索的所有字符串。
条件部分:这部分定义匹配的条件。它可以只匹配一个或多个字符串,但也可以较复杂,我们会在文章后面看到。
我强烈建议创建一个空模板,您将始终用它来开始编写新规则。这样,您只需填充几个可变内容,