谁能帮助将一小部分 IOC 脚本转换为 YARA 规则以识别恶意软件?
我将尝试根据任何人为我编写的示例来学习如何编写 YARA 规则。
这是 IOC 脚本的一小部分:
<IndicatorItem id="50455b63-35bf-4efa-9f06-aeba2980f80a" condition="contains">
<Context document="ProcessItem" search="ProcessItem/name" type="mir"/>
<Content type="string">winlogon.exe</Content>
</IndicatorItem>
<IndicatorItem id="b05d9b40-0528-461f-9721-e31d5651abdc" condition="contains">
<Context document="ProcessItem" search="ProcessItem/HandleList/Handle/Type" type="mir"/><Content type="string">File</Content>
</IndicatorItem>
任何人都可以向我解释如何将其转换为 YARA,我可以使用 Python 来做到这一点吗?多谢!!