YARA是一个主要用于恶意软件研究和检测的工具。

它提供了一种创建基于文本二进制模式的恶意软件系列的描述方法。一个描述本质上是一个 YARA 规则名称,其中这些规则由字符串集和一个布尔表达式组成。[1] 使用的语言具有与 Perl 兼容的正则表达式的特点。[2][3]

历史

YARA 最初由 VirusTotal 的 Victor Alvarez 开发,并于 2013 年在 GitHub 上发布[4] YARA 的名称来自 YARA: Another Recursive Acronym 或 Yet Another Ridiculous Acronym 的首字母缩写。[5]

设计

YARA 默认包含了处理 PEELF格式分析的模块,并支持Cuckoo 沙盒

参见

参考资料

  1. ^ Welcome to YARA's documentation! — yara 4.2.2 documentation. yara.readthedocs.io. [2022-07-15]. 
  2. ^ Signature-Based Detection With YARA. 24 June 2015 [28 Nov 2016]. (原始内容存档于2022-08-24). 
  3. ^ Remove Duplicate Yara Rules with PowerShell Regular Expressions. [28 Nov 2016]. 
  4. ^ Release v1.7.1. GitHub. [2022-08-24]. (原始内容存档于2022-08-24). 
  5. ^ Victor M. Alvarez [@plusvic]. @milliped @yararules YARA is an acronym for: YARA: Another Recursive Acronym, or Yet Another Ridiculous Acronym. Pick your choice. (推文). 22 September 2016 –通过Twitter. 

外部链接