YARA语法

最新推荐文章于 2025-06-07 23:28:04 发布

原创

最新推荐文章于 2025-06-07 23:28:04 发布 · 1.3k 阅读

1 ·

CC 4.0 BY-SA版权

本文介绍了YARA的基础知识，包括YARA的关键字如rule、strings和condition，详细阐述了YARA的语法，如注释、字符串定义和条件区域。此外，还提及了命令行参数的使用，当目标文件或进程符合规则时，YARA会输出相应的信息。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

文章目录

YARA基础

YARA基础

YARA关键字

all	in	private	and	include
rule	any	index	rva	ascii
indexes	section	at	int8	strings
condition	int16	them	contains	int32
true	entrypoint	matches	uint8	false
meta	uint16	filesize	nocase	uint32
fullword	not	wide	for	or
global	of

关键字解释：
rule：规则标

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Haessen

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

yara规则

weixin_47576228的博客

09-02

1298

本篇参照官网规则，将yara语法总结如本文部分

yara语法

Starr

01-14

2221

yara 文章目录yara1. Strings1.1 Hexadecimal stringswild-cardsjumpalternatives1.2 text stringsxorfull words1.3 regular expressions2. condition2.1 Counting strings2.2 String offsets or virtual addresses2.3 M...

参与评论您还未登录，请先登录后发表或查看评论

YARA 规则学习笔记

最新发布

2401_83680667的博客

06-07

569

YARA 是一个强大的工具，用于帮助研究人员识别和分类恶意软件样本。本文记录了学习 YARA 规则过程中的关键要点和常用写法，适合作为查阅手册使用。

yara规则--编写

无痕的博客

04-19

1247

yara规则的编写

yara语法简介

u013156691的博客

06-20

7273

yara是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具，yara规则基于字符串或者二进制模式信息创建恶意软件家族描述信息，yara的每一条描述和规则都是通过一系列字符串和一个布尔表达式构成，并阐述其逻辑。yara规则可以提交给文件或者在运行进程，以帮助研究人员识别其是否属于某个已知运行规则描述的恶意软件家族。下面是一个yara规则简单的例子：

yara规则书写规范

01-04

yara 语法

03-30

### YARA规则语法教程 YARA 是一种用于识别和分类恶意软件的工具，其核心功能在于能够通过编写规则来匹配特定的文本或二进制模式。以下是关于 YARA 规则语法的关键知识点： #### 1. 基本结构 YARA 的规则由三部分...

用yara语法写一个正则：不包含”项目“关键词

06-10

您好，以下是符合您要求的YARA语法下的正则表达式： ``` rule no_project_keyword { condition: not any of them for each $char in wide($) ( $char == "项" and wide(@+1) == "目" or wide(@-1) == "项" ...

写一个能被yara语法识别的正则：不包含”项目“关键词

06-10

您好，以下是符合YARA语法的正则表达式，可以识别不包含“项目”关键词的字符串： ``` rule no_project_keyword { condition: not any of them for each $word in split($) ( $word contains "项目" ) } ``` ...

用yara语法下的正则写一个表达式：不包含”项目“关键词

06-10

您好，以下是符合您要求的YARA语法下的正则表达式： ``` rule no_project_keyword { condition: not matches ( /.*项目.*/i, $) } ``` 这个规则的作用是，如果被匹配的字符串中不包含“项目”关键词，则该规则被...

yara-parsers:yara-parsers 是一个项目，旨在为许多流行的文本编辑器开发语法高亮解析器，以便更轻松地编写 YARA 规则

06-10

yara 解析器关于 yara-parsers 是一个项目，旨在为许多流行的文本编辑器开发语法高亮器/解析器，以便更轻松地编写 YARA 规则。解析器本项目目前实现了以下解析器：在线文本编辑器

YARA规则摘要

cozil的专栏

08-27

2774

原文链接：https://yara.readthedocs.io/en/v3.7.0/writingrules.html 一个简单的yara规则示范： rule ExampleRule { strings: $my_text_string = &amp;quot;text here&amp;quot; $my_hex_string = { E2 34 A1 C8 23 FB } ...

YARA：第四章-字符串之正则表达式（三）

不断学习，不断进步。

07-09

776

正则表达式是Yara最强大的功能之一，用户可以通过编写正则表达式来作为匹配规则。

yara安装与使用

weixin_43781139的博客

03-09

9057

yara安装与使用环境及安装工具使用yara规则编写strings部分转义大小写字符集表示匹配单个词组文本字符串condition部分infilesizeatentrypointint8/16/32、uint8/16/32of??？[X-Y]them/($*)@!for xxx of xxx ：(xxx)for xxx i in (xxx) ：(xxx)其他yara关键字globalprivateTagRule引用规则importinclude注释mate外部变量环境及安装操作系统：win10 安装地址

静态扫描之Yara第二话--编写yara规则（1）

安全杂货铺

01-05

3740

编写简单高效的yara规则（1）翻译自：https://www.bsk-consulting.de/2015/02/16/write-simple-sound-yara-rules/ 在过去的两年里，我根据IOC抓取到的样本，编写了约2000条Yara规则。许多安全专家发现，Yara提供了一种简单有效的方法，可以根据样本中的字符串或字节序列编写自定义规则，这使得广大用户可以创建属于自己

yara 源码学习(二) 规则编译部分

lacoucou的专栏

06-10

2375

yara源码分析

编写yara规则检测恶意软件

whatday的专栏

07-31

2013

Yara规则与C语言语法十分相像, 以下是一个简单的规则, 这个规则没有进行任何操作: 1 2 3 4 5 rule HelloRule { condition: false } 规则标识符规则标识符是上面简单规则示例中跟在rule后的词, 比如单词"dummy"也可以是一个规则标识符, 标识符命名有如下要求: 是由英文字母或数字组成的字符串可以使用下划线字符第一个字符不能是数字对大

YARA：第三章-字符串之文本字符串（二）

不断学习，不断进步。

07-08

1074

Yara文本字符串规则格式详解。

yara规则初识

无痕的博客

11-02

2777

YARA 是一个免费开源工具，旨在帮助安全人员检测和分类恶意软件，但它不应仅限于这一种用途。YARA规则还可以帮助检测特定文件或您可能想要检测的任何内容。目前使用YARA 的知名软件有赛门铁克、火眼、卡巴斯基、VirusTotal、安天等。