YARAS regler er en måte å identifisere skadelig programvare (eller andre filer) på ved å opprette regler som ser etter bestemte egenskaper. YARA ble opprinnelig utviklet Av Victor Alvarez Av Virustotal og brukes hovedsakelig i malware forskning og deteksjon. Det ble utviklet med ideen om å beskrive mønstre som identifiserer bestemte stammer eller hele familier av malware.
Syntaks
Hver regel må starte med ordregelen, etterfulgt av navnet eller identifikatoren. Identifikatoren kan inneholde et alfanumerisk tegn og understrekingstegnet, men det første tegnet kan ikke være et siffer. DET finnes en liste OVER YARA-nøkkelord som ikke kan brukes som identifikator fordi DE har en forhåndsdefinert betydning.
Betingelse
Reglene består av flere seksjoner. Betingelsesdelen er den eneste som kreves. Denne delen angir når regelresultatet er sant for objektet (filen) som undersøkes. Den inneholder Et Boolsk uttrykk som bestemmer resultatet. Betingelsene er Av design Boolske uttrykk og kan inneholde alle de vanlige logiske og relasjonelle operatorene. Du kan også inkludere en annen regel som en del av dine forhold.
Strings
for å gi betingelsesdelen en mening, trenger du også en stringseksjon. Strings-seksjonene er der du kan definere strengene som vil bli sett etter i filen. La oss se på et enkelt eksempel.
rule vendor
{
strings:
$text_string1 = "Vendor name" wide
$text_string2 = "Alias name" wide
condition:
$text_string1 or $text_string2
}
regelen som vises ovenfor heter leverandør og ser etter strengene «Leverandørnavn» og «Aliasnavn». Hvis en av disse strengene er funnet, er resultatet av regelen sant.
det finnes flere typer strenger du kan se etter:
- Heksadesimal, i kombinasjon med wild-kort, hopp og alternativer.
- Tekststrenger, med modifikatorer: nocase, fullword, wide og ascii.
- Regulære uttrykk, med de samme modifikatorene som tekststrenger.
det er mange mer avanserte forhold du kan bruke, men de er utenfor omfanget av dette innlegget. HVIS du vil vite mer, finner du det i yara-dokumentasjonen.
Metadata
Metadata kan legges til for å identifisere filene som ble plukket opp av en bestemt regel. Metadataidentifikatorene følges alltid av et likhetstegn og den angitte verdien. De tildelte verdiene kan være strenger, heltall eller En Boolsk verdi. Vær oppmerksom på at identifikator / verdipar som er definert i metadata-delen, ikke kan brukes i betingelse-delen.
Sammendrag
YARA ER et verktøy som kan brukes til å identifisere filer som oppfyller visse vilkår. Det er hovedsakelig i bruk av sikkerhetsforskere å klassifisere malware.
Lenker
Signaturbasert Gjenkjenning med YARA
Siste yara-dokumentasjon
YARA: Enkel Og Effektiv Måte Å Dissekere Malware
Skjermbilder ble laget ved Hjelp Av Yara Editor By Adlice Software
Pieter Arntz