yara规则--编写

最新推荐文章于 2025-06-07 23:28:04 发布
原创 最新推荐文章于 2025-06-07 23:28:04 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#yara

YARA规则是一种类似C语言的语法,用于定义在文件或内存中查找的模式。规则包括规则标识符、注释、多种类型的字符串(如十六进制和文本字符串,支持通配符和正则表达式)、条件表达式以及如何使用运算符。此外,规则还能导入模块、使用外部变量,并支持文件包含。
YARA规则易于编写和理解,并且它们的语法是 类似于 C 语言。这是您可以编写的最简单的规则 YARA,它什么都不做: 
rule dummy
{
    condition:
        false
}

一、规则标识符

每个规则都以关键字“ rule”开头,后面跟着一个规则标识符。标识符必须遵循与C语言相同的词法约定,标识符命名有如下要求:
  • 英文字母、数字、下划线组成的字符串
  • 第一个字符不能是数字
  • 对大小写敏感
  • 不能超出128个字符长度
以下关键字是保留的,不能用作规则标识符:

二、注释

// 单行注释
/*
   多行注释
*/

三、字符串

Yara中有三种类型的字符串:

3.1、十六进制字符串

定义原始字节序列
// 通配符?:可以代替某些未知字节,与任何内容匹配 
rule WildcardExample
{
    strings:
       // 使用‘?’作为通配符
       $hex_string = { 00 11 ?? 33 4? 55 }
    condition:
       $hex_string
}

这个规则可以匹配下面的两个字符串:

00 11 01 33 43 55
00 11 AA 33 4N 55
// 跳转:可以匹配长度可变的字符串
rule JumpExample 
{
        strings:
           // 使用‘[]’作为跳转,与任何长度为0-2字节的内容匹配
           $hex_string1 = { 00 11 [2] 44 55 }
           $hex_string2 = { 00 11 [0-2] 44 55 }
           // 该写法与string1作用完全相同
           $hex_string3 = { 00 11 ?? ?? 44 55 }
        condition:
           $hex_string1 and $hex_string2
}
这个规则可以匹配下面的两个字符串:
00 11 01 22 44 55
00 11 AA 44 55
// 匹配无限长的字符串 
rule BuzzLightyear
{
    strings:
        $hex_string = { F4 23 [-] 62 B4 }
    condition:
        $hex_string
}
这个规则可以匹配下面的两个字符串:
F4 23 AA FF 62 B4
F4 23 AA AA AA AA AA...FF FF 62 B4
// 也可以使用类似于正则表达式的语法 
rule AlternativesExample1
{
    strings:
       $hex_string = { 00 11 ( 22 | 33 44 ) 55 }
    condition:
       $hex_string
}
可以匹配以下内容:
00 11  22  55
00 11  33 44  55
// 还可以将上面介绍的方法整合在一起用
rule AlternativesExample2 
{
    strings:
       $hex_string = { 00 11 ( 33 44 | 55 | 66 ?? 88 ) 99 }
    condition:
       $hex_string
}
这个规则可以匹配下面的三个字符串:
00 11 33 44 99
00 11 55 99
00 11 66 AG 88 99

3.2、文本字符串

定义可读文本的部分。
转义符:
    \"        双引号
    \\        反斜杠
    \t        制表符
    \n        换行符
    \xdd      十六进制的任何字节
修饰符:
    nocase:  不区分大小写
    wide:      匹配2字节的宽字符, 这种宽字符串在许多二进制文件中都有出现
    ascii:      匹配1字节的ascii字符
    xor:        匹配异或后的字符串
    fullword: 匹配完整单词,用于匹配那些前后没有附加其他字符的单词
    private:  定义私有字符串
  
rule CaseInsensitiveTextExample
{
    strings:
        // 不区分大小写
        $text_string = "foobar" nocase

        // 匹配宽字符串
        $wide_string = "Borland" wide

        // 同时匹配2种类型的字符串
        $wide_and_ascii_string = "Borland" wide ascii

        // 匹配所有可能的异或后字符串
        $xor_string = "This program cannot" xor

        // 匹配所有可能的异或后wide ascii字符串
        $xor_string = "This program cannot" xor wide ascii

        // 限定异或范围
        $xor_string = "This program cannot" xor(0x01-0xff)

        // 全词匹配(匹配:www.domain.com  匹配:www.my-domain.com  不匹配:www.mydomain.com)
        $wide_string = "dom
最低0.47元/天 解锁文章
yara规则书写规范
01-04
当前最新yara规则书写规范,官方文档翻译过来的,不包括后面支持的模块翻译。大家有兴趣可以下载下来看。
精选资源
yara-rule-porter:将yara规则从文件导出到数据库
05-24
yara-rule-porter是用于转换yara规则的软件包。 它从文件或数据库中读取yara规则,对其进行解析并应用一组规范化或转换脚本。 之后,它将再次将规则导出到文件或数据库。 它用Perl编写,并使用Leigh Thompson...
网络安全从业人员必知的YARA规则(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-04 2886
YARA是一种用于识别和分类恶意软件样本的开源工具。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Yara规则编写
lisasue的博客
09-07 8898
yara规则编写 YARA规则的标识符类似于C语言结构,其规则声明以rule标识,在规则描述中可以包括字母、数字甚至下划线字符,但字符串第一个字符不能是数字,且单条描述不能超过128个字符。 Yara关键字 YARA规则由字符串区域和条件区域两部分组成,其中条件区域必须存在,字符串区域则可有可无,比如不依赖任何字符串的规则: rule Dummy { condition:
编写yara规则 检测恶意软件
whatday的专栏
07-31 2088
Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符 规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串 可以使用下划线字符 第一个字符不能是数字 对大
yara规则
weixin_47576228的博客
09-02 1379
本篇参照官网规则,将yara语法总结如本文部分
yara语法
Starr
01-14 2271
yara 文章目录yara1. Strings1.1 Hexadecimal stringswild-cardsjumpalternatives1.2 text stringsxorfull words1.3 regular expressions2. condition2.1 Counting strings2.2 String offsets or virtual addresses2.3 M...
精选资源
reversinglabs-yara-rules:ReversingLabs YARA规则
03-18
这些规则已由我们的威胁分析师编写,适用于威胁猎人,事件响应者,安全分析师和其他防御者,他们可以从在其环境中部署高质量威胁检测YARA规则中受益。 与搜寻规则相反,我们的检测规则需要满足某些条件才有资格进行...
精选资源
yara-parsers:yara-parsers 是一个项目,旨在为许多流行的文本编辑器开发语法高亮解析器,以便更轻松地编写 YARA 规则
06-10
yara 解析器 关于 yara-parsers 是一个项目,旨在为许多流行的文本编辑器开发语法高亮器/解析器,以便更轻松地编写 YARA 规则。 解析器 本项目目前实现了以下解析器: 在线文本编辑器
精选资源
Go编写的跨平台Yara扫描仪-Golang开发
05-26
以下是核心功能:使用提供的Yara规则(利用go-yara)扫描正在运行的可执行文件和正在运行的进程的内存。 扫描安装的可执行文件以自动运行(利用go-autoruns)。 使用提供的Yara规则扫描文件系统。 将任何检测结果...
yara 源码学习(二) 规则编译部分
lacoucou的专栏
06-10 2513
yara源码分析
YARA语法
Snake_74的博客
06-30 1411
文章目录YARA基础语法 YARA基础语法 YARA关键字 all in private and include rule any index rva ascii indexes section at int8 strings condition int16 them contains int32 true entrypoint matches uint8 false ...
yara规则--构建yara规则
无痕的博客
04-19 2505
多种方式构建yara规则
yara 规则
thinker
08-09 371
非常棒的各类yara规则
yara规则学习与使用
abelxu
06-20 8507
最近需要对分析的病毒提供一定的检测能力。看了一圈发现yara规则比较满足我的需求。 本文包括: 1. yara规则的简单介绍 2. yara规则编写(字符串定义和条件定义)(基本就是官网翻译了) 3. 如何在python语言中使用yara(简单使用)...
Yara规则概述
热门推荐
Re:Creator的博客
04-12 2万+
一、Yara概述YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属...
YARA 规则学习笔记
最新发布
2401_83680667的博客
06-07 824
YARA 是一个强大的工具,用于帮助研究人员识别和分类恶意软件样本。本文记录了学习 YARA 规则过程中的关键要点和常用写法,适合作为查阅手册使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值