0
  1. 该恶意软件属于PE类型。使用此文件类型的魔术字节。
  2. 要创建包含大量字符串的规则,编写一个为您创建规则的脚本可能会很有用。
  3. 通过智能找到的字符串可能单独存在于其他文件中。为确保您与恶意软件匹配,可能需要使用所有这些恶意软件。

我想在这里,我们必须使用条件“所有这些”。但是我如何将文件中包含的字符串输入到我的.yara文件中呢?

示例这是我的文件的文件路径,其中包含要比较的所有字符串 -->

/home/student/Desktop/intel/strings.txt

问题 --> 编写一个 Yara 规则,能够检测目录中实际上是恶意软件的 /home/student/Desktop/suspicious文件。

4

1 回答 1

0

您可以使用 python 中的文件处理来为您的 yara 规则创建一组字符串。

with open("strings.txt","r") as f:
    data=f.read().splitlines()

with open("new1.txt", "w") as t:
    for i in range(len(data)):
        t.write("$s"+str(i)+"="+"\""+str(data[i])+"\""+"\n")

对于 PE 类型的恶意软件,魔术字节是“MZ”,因此,您需要将此附加字符串包含为

$mz="MZ"

创建所有字符串后,条件应该是

$mz 在 0 和所有这些

于 2021-05-30T01:53:24.730 回答