YARA是一個主要用於惡意軟件研究和檢測的工具。

它提供了一種創建基於文本二進制模式的惡意軟件系列的描述方法。一個描述本質上是一個 YARA 規則名稱,其中這些規則由字符串集和一個布爾表達式組成。[1] 使用的語言具有與 Perl 兼容的正則表達式的特點。[2][3]

歷史

編輯

YARA 最初由 VirusTotal 的 Victor Alvarez 開發,並於 2013 年在 GitHub 上發布[4] YARA 的名稱來自 YARA: Another Recursive Acronym 或 Yet Another Ridiculous Acronym 的首字母縮寫。[5]

設計

編輯

YARA 默認包含了處理 PEELF格式分析的模塊,並支持Cuckoo 沙盒

參見

編輯

參考資料

編輯
  1. ^ Welcome to YARA's documentation! — yara 4.2.2 documentation. yara.readthedocs.io. [2022-07-15]. 
  2. ^ Signature-Based Detection With YARA. 24 June 2015 [28 Nov 2016]. (原始內容存檔於2022-08-24). 
  3. ^ Remove Duplicate Yara Rules with PowerShell Regular Expressions. [28 Nov 2016]. 
  4. ^ Release v1.7.1. GitHub. [2022-08-24]. (原始內容存檔於2022-08-24). 
  5. ^ Victor M. Alvarez [@plusvic]. @milliped @yararules YARA is an acronym for: YARA: Another Recursive Acronym, or Yet Another Ridiculous Acronym. Pick your choice. (推文). 22 September 2016 –透過Twitter. 

外部連結

編輯