在 yara 规则文件malware.yar中,内容如
rule rules_one
{}
rule rules_two
{}
...
文件中有很多规则,我yr_compiler_add_file用来添加文件,然后yr_compiler_get_rules用来获取规则。我从规则文件中获取所有规则,现在我只想使用一个规则来扫描缓冲区。
如果我使用yr_rules_scan_mem,它将使用所有规则扫描缓冲区。但我只需要一个来做到这一点。我能怎么做?
问问题
111 次