我一直在尝试为模式匹配构建一个简单的 yara 规则 - mcd.exe /c "%s" 它用于学习基本的恶意软件分析。
规则:
rule onesignature
{
strings:
$a = "mcd.exe /c "%s""
condition:
$a
}
结果出现此错误 -> 错误:语法错误,意外 '%',期待CONDITION
我了解该错误是因为我无法转义“%s”或只是 %,。欢迎任何要解决的想法和逃避其他东西(如特殊字符)以帮助以更好的方式编写 yara 的方法。
问问题
115 次