内容纲要
http://virustotal.github.io/yara/
YARA 是一款旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本的工具。使用 YARA,您可以根据文本或二进制模式创建恶意软件系列(或您想要描述的任何内容)的描述。每个描述(又称为规则)由一组字符串和一个决定其逻辑的布尔表达式组成。让我们看一个例子:
rule silent_banker : banker
{
meta:
description = "This is just an example"
threat_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = "UVODFRYSIHLNWPEJXQZAKCBGMT"
condition:
$a or $b or $c}
上述规则告诉 YARA 任何包含三个字符串之一的文件都必须报告为silent_banker。这只是一个简单的示例,可以通过使用通配符、不区分大小写的字符串、正则表达式、特殊运算符以及许多其他功能来创建更复杂和更强大的规则,您可以在 YARA 文档中找到这些功能的解释。