刚开始使用 yara 并遇到了一些问题。当我运行 yara 来测试我正在处理的规则时(该规则将查看 .eml 文件),我将结果写入文件。当我查看我写入的文件时,什么都没有。这是我的规则。
rule test {
strings:
$text_a = "WORD"
$everyone = "everyone@domain.com"
$return_path = /^\<everyone([.]+)\@domain\.com\>$/
$user_a = "usera@domain.com"
$user_b = "userb@domain.com"
condition:
any of ($user*) and ($text_a and $allstaff and $return_path)
}
我的数据集有 usera@domain.com、“WORD”和返回路径变量。
返回路径变量中的正则表达式包含单词“everyone”、一些随机字符,然后是域。当我在终端中运行它时,不会引发任何错误。当我写入文件时,文件中没有任何内容。
yara -s test.yara dataset > text.txt
如果我使用 -n 标志运行相同的命令,我就会得到结果。我不确定我的逻辑、正则表达式或对标志的理解是否错误。任何指导都会有所帮助!