2

我正在尝试在 yara 规则中包含非 ascii 字符

首先在 yara 规则名称和字符串中,用于规则的条件

在这两种情况下,我都会收到错误:测试规则时出现“非 ascii 字符”。所以看起来 yara 不支持非 ascii 字符?

 Rule i18n_KatakanaTest_string_specific_ アイルランド: i18n test アイルランドTest
{
    meta:
        description = "This is an i18n example for the アイルランド exe"
        thread_level = 3
        in_the_wild = false
        weight = 100

    strings:
        $stringa = "アイルランド"


    condition:
        $stringa
}

规则保存为 fe-JAP

要验证规则:

C:\Tools\yara-3.4.0-win64>yara64.exe fe_JAP ASCIItest_file.exe

返回:

fe_JA (1):error: non-ascii character
fe_JA (1):error: syntax error, unexpected $end, expecting '{'
4

1 回答 1

0

你是对的。YARA 既不支持规则名称也不支持字符串的非 ascii 字符。如果你想用日语搜索字符串,你可以用二进制形式搜索它们。当然,为了做到这一点,您必须知道编码后字符串的原始字节。

于 2016-01-21T23:21:23.637 回答