Selitys: Yaran säännöt

    Pieter ArntzPieter Arntz
    4 vuotta sitten

Yaran logo

Yaran säännöt ovat tapa tunnistaa haittaohjelmia (tai muita tiedostoja) luomalla sääntöjä, jotka etsivät tiettyjä ominaisuuksia. YARA on alun perin VirusTotalin Victor Alvarezin kehittämä ja sitä käytetään pääasiassa haittaohjelmien tutkimuksessa ja havaitsemisessa. Sen ideana oli kuvata kuvioita, jotka tunnistavat tiettyjä kantoja tai kokonaisia haittaohjelmaperheitä.

syntaksi

jokaisen säännön on alettava sanalla sääntö, jota seuraa nimi tai tunniste. Tunniste voi sisältää minkä tahansa aakkosnumeerisen merkin ja alaviivan, mutta ensimmäinen merkki ei saa olla numero. On luettelo YARA-avainsanoista, joita ei saa käyttää tunnisteena, koska niillä on ennalta määritelty merkitys.

ehto

säännöt koostuvat useista osioista. Kunto-osio on ainoa, joka tarvitaan. Tässä osiossa määritetään, milloin säännön tulos on tosi tutkittavalle objektille (tiedostolle). Se sisältää Boolen lausekkeen, joka määrittää tuloksen. Ehdot ovat rakenteeltaan Boolen lausekkeita ja voivat sisältää kaikki tavanomaiset loogiset ja relaatio-operaattorit. Voit myös sisällyttää toisen säännön osaksi ehtoja.

Jouset

jotta ehtoosiolle annettaisiin merkitys, tarvitaan myös jousisektio. Merkkijonot osiot on, jossa voit määritellä merkkijonoja, joita etsitään tiedostosta. Katsotaanpa helppo esimerkki.

rule vendor
{
strings:
$text_string1 = "Vendor name" wide
$text_string2 = "Alias name" wide
condition:
$text_string1 or $text_string2
}

yllä oleva sääntö on nimeltään myyjä ja etsii merkkijonoja ”toimittajan nimi”ja” Alias nimi”. Jos jompikumpi noista merkkijonoista löytyy, niin säännön tulos on tosi.

on olemassa useita kielityyppejä, joita voi etsiä:

  • heksadesimaali yhdessä villikorttien, hyppyjen ja vaihtoehtojen kanssa.
  • tekstijonot, joissa on modifioijia: nocase, fullword, wide ja ascii.
  • Säännölliset lausekkeet, joissa on samat modifioijat kuin tekstimerkeissä.

on monia kehittyneempiä ehtoja, joita voi käyttää, mutta ne eivät kuulu tämän viran piiriin. Jos haluat tietää enemmän, löydät sen YARA-dokumentaatiosta.

metatiedot

metatiedot voidaan lisätä, jotta voidaan tunnistaa tietyllä säännöllä poimitut tiedostot. Metatunnisteita seuraa aina tasamerkki ja asetusarvo. Annetut arvot voivat olla merkkijonoja, kokonaislukuja tai Boolen arvo. Huomaa, että metatieto-osiossa määriteltyjä tunniste/arvo-pareja ei voi käyttää ehto-osiossa, niiden ainoa tarkoitus on tallentaa lisätietoja säännöstä.

Yhteenveto

YARA on työkalu, jolla voidaan tunnistaa tietyt ehdot täyttäviä tiedostoja. Se on pääasiassa tietoturvatutkijoiden käytössä haittaohjelmien luokittelussa.

linkit

allekirjoitukseen perustuva tunnistus Yaran kanssa

viimeisin Yara-dokumentaatio

YARA: Yksinkertainen ja tehokas tapa Dissektoida haittaohjelmia

kuvakaappauksia tehtiin Yara-Editorin avulla adlice Softwaren toimesta

Pieter Arntz



+