我像这样在 YARA 规则中写了条件,pe.entry_point == {12 A5 26}但我出乎意料_HEX_STRING_ error。问题是什么?我怎样才能得到地址entry_point?的输出类型是pe.entry_point什么?
问问题
570 次
1 回答
1
pe.entry_point是一个DWORD在IMAGE_OPTIONAL_HEADER.
此功能的实现(即 Yara 如何pe.entry_point从可移植的可执行文件中检索值)可在 Yara Github 页面上找到。
关于您遇到的错误,请尝试将规则更改为pe.entry_point == 0x12A526. 我根据此处的示例测试规则提出此建议。
于 2018-02-26T01:56:38.690 回答