قوانین YARA به صورت خلاصه

تصویر
عکس پروفایل ظهر جسیکا تروونگ هکر

@jtruongجسیکا تروونگ

به امنیت علاقه دارید؟ برای محتوای امنیت سایبری همراه باشید

یارا چیست؟

YARA ابزاری است که برای کمک به محققان در شناسایی و طبقه بندی بدافزارها استفاده می شود. YARA یک پلتفرم چندگانه است که از هر دو سیستم مبتنی بر یونیکس و ویندوز پشتیبانی می کند و می توان از طریق خط فرمان یا از اسکریپت های پایتون با پسوند yara-python استفاده کرد.

https://www.youtube.com/watch؟v=_rbUnXmdSOw

در حال اجرا YARA

برای اجرای YARA از طریق خط فرمان ، دستور زیر را اجرا کنید:

یارا [OPTIONS] RULES_FILE TARGET

در زیر لیستی از گزینه هایی است که می توانید از بین آنها انتخاب کنید:

تصویر

RULES_FILE قانون YARA است که در برابر فایل TARGET ، پوشه یا فرآیند اسکن شده استفاده می شود.

نحو YARA

هر قانون باید با قاعده کلمه کلیدی همراه با نام قانون شروع شود (همچنین به عنوان شناسه قانون نیز شناخته می شود). شناسه قانون می تواند با یک حرف عددی یا زیر خط شروع شود اما با یک رقم شروع نمی شود. شناسه های قانون نمی تواند از 128 نویسه بیشتر باشد و به حروف کوچک بزرگ حساس هستند.

تعریف رشته

YARA از سه نوع مختلف رشته پشتیبانی می کند:

  • رشته های متنی
  • عبارات با قاعده
  • رشته های هگزادسیمال – برای تعریف بایت های خام مفید است

شناسه رشته

هر شناسه رشته باید با کاراکتر $ شروع شود و به دنباله ای از نویسه ها و زیر خطوط عددی عددی شروع شود.

شرایط

این بخش به طور معمول شامل …