问题标签 [yara]

我想合并 clamAV python 和 YARA 规则。目标是按需扫描我制定的 YARA 规则。我写了这个简单的脚本并且工作得很好

有没有办法使用 YARA 规则但通过 pyclamd 扫描相同的 .pdf 文件？

我使用 VirusTotal “搜索”功能运行了几个规则集，并使用privateYARA 规则过滤掉误报。例如：

not我在另一条规则中的声明中引用了这条规则。这按预期工作，我不再收到包含我匹配的字符串的 DEX 文件的警报。

但是我提到的使用and语句的另一条规则被忽略了。我还使用该规则编写了另一个规则集，我得到了相同的结果 - 私有规则被忽略，我收到与$a字符串匹配的文件的警报，但不满足isClassified规则

我尝试了这两种选择，global private只是private，没有区别。VT 在两个规则集中都没有检测到语法错误。我以前从未遇到过这个问题，这就是为什么它让我感到困惑 - 一些私人规则被接受，但其他人被忽略。

这是 VirusTotal（这是我使用 YARA 规则的唯一地方）本身的问题吗？还是我在编写规则时遗漏了什么？

我正在尝试创建一些匹配域“example.com”的任何偏差的正则表达式。

在“example”之前或之后查找字符很容易。发现“示例”的偏差对我来说是一个挑战。

我可以做类似的事情[^e][^x][^a][^m][^p][^l][^e]，但是每个角色都必须偏离。如果我?在每个括号组之后放置一个，“x.com”现在匹配。

我需要表达式来匹配偏差但不匹配“示例”。

我是在 YARA 规则的上下文中执行此操作的，因此无法使用环视。

有人有想法么？

我创建了一个基于 yara 规则分析文件的脚本（yara 是来自此存储库https://github.com/Yara-Rules/rules的文件）。我的脚本导入了一个包含所有其他规则的 yara 文件。当我尝试编译它时，我收到一个语法错误：“无法打开包含文件：rules_for_files\Antidebug_AntiVM_index.yar”，将我指向其中一个规则。我试图排除它，但它继续指向其他人。

我尝试使用不同版本的python：1.我使用了python2.7，当我使用二进制字符串/原始字符串时，我都收到了上述错误。关于 python 3.5，当我提到像我的代码示例中的二进制字符串时，解释器中断/重置（如果我使用 GUI）。我该如何解决这个问题？谢谢你。

我正在将文本模式扫描仪从 Python3 转换为 Go1.10，但令我惊讶的是它实际上慢了 2 倍。分析后，罪魁祸首在strings.Contains(). 请参阅下面的简单基准。我错过了什么吗？您能否推荐一种更快的 Go 模式搜索算法，在这种情况下性能会更好？我不关心启动时间，相同的模式将用于扫描数百万个文件。

Py3 基准测试：

Go1.10 基准测试：

data.php是一个 528KB 的文件，可以在这里找到。

输出：

我尝试使用androguard 模块安装Yara 3.8.1 。在安装过程中，我遇到了这个问题，所以我将@reox给出的补丁应用到文件中，它解决了这个问题。之后，我使用命令行尝试了一个简单的 Yara 规则，它运行良好。然后我尝试在我的 python 应用程序中使用 Yara 规则，所以我安装了yara-python并以这种方式使用它：androguard.cimport "androguard"

该match函数在使用没有模块的 Yara 规则时运行良好，import "androguard"但是当我想应用导入 androguard 的规则时，该match函数会出错：

我正在对一个小文件应用一个简单的规则，按 KB 顺序排列。我认为问题出在 androguard 模块上，因为当我删除 时import "androguard"，它可以正常工作。任何想法？

在官方 Yara 规则存储库 git hub 中有一个索引文件。这个：https ://github.com/Yara-Rules/rules/blob/master/index.yar

我想用 bash 或其他语言创建一个脚本，该脚本能够将所有 yara 文件合并到一个 .yar（如 index.yar）中，其中包括我所有的 yara 文件。我可以手动完成，但问题是有太多规则无法在脚本中手动写下来。

例如这个存储库：https ://github.com/citizenlab/malware-signatures/tree/master/malware-families 我真的不知道如何创建一个文件来创建一个包含所有这些 yara 规则的文件存储库

提前感谢您的所有帮助，我很感激。

刚开始使用 yara 并遇到了一些问题。当我运行 yara 来测试我正在处理的规则时（该规则将查看 .eml 文件），我将结果写入文件。当我查看我写入的文件时，什么都没有。这是我的规则。

我的数据集有 usera@domain.com、“WORD”和返回路径变量。

返回路径变量中的正则表达式包含单词“everyone”、一些随机字符，然后是域。当我在终端中运行它时，不会引发任何错误。当我写入文件时，文件中没有任何内容。

如果我使用 -n 标志运行相同的命令，我就会得到结果。我不确定我的逻辑、正则表达式或对标志的理解是否错误。任何指导都会有所帮助！

我已按照此处的说明成功安装了 Yara：https ://yara.readthedocs.io/en/v3.8.1/gettingstarted.html#compiling-and-installing-yara包括执行 ./configure --with-crypto 和没有看到任何错误信息。

当我进入“make check”步骤时，我遇到了以下两个失败。

打开 SSL 版本：OpenSSL 1.0.2k-fips 26 Jan 2017

如果我运行 phpmalwarefinder，我会得到