问题标签 [yara]

任何人都可以帮助编写正则表达式（yara 方法）来检测端口号（0-65535）吗？

谢谢

所以我一直在尝试构建一个可以检测端口号（0-65535）的正则表达式。我已经尝试了下面帖子中给出的那个：

正则表达式验证端口号

这个 ：

在https://regex101.com/上进行测试时，上述方法似乎工作正常。

但是，当我尝试构建一个 yara 规则以使用与上述相同的模式检测这一点时，即使上述模式具有文档中所述的所有允许字符，它也不起作用：

https://yara.readthedocs.io/en/stable/writingrules.html#regular-expressions

我在下面使用此代码，但它不起作用.. peid.yarafilepath此处提供的内容。完整的代码在这里integrated_feature_extraction.py

当我运行程序时出现错误

我认为执行时出现问题result.append([1,matches['main'][0]['rule']])。上面的代码有什么问题？？？。我该怎么办 ？？输出应该是文件路径中的“no packer”或规则名。

现在被这个问题困扰了一段时间。我正在使用自己的 yara 规则扫描目录，当我尝试使用我的代码获取单个文件时它可以工作，但是当我在 a 上使用相同的代码时for loop，它不匹配任何内容。

我试过搜索我的问题，但它总是向我展示 yara 基础知识的文档。

测试yara规则：

我的代码是否正确？谁可以帮我这个事？

当我用 yara 扫描大量文件时，我得到很多“错误扫描”错误，这是正常的。但我不希望它打印这些错误消息，我怎样才能阻止它这样做？-w 没有帮助。

目前我正在这样扫描：

作为作业的一部分，我必须编写一个YARA 规则来识别过去 24 小时内编译的二进制文件。为此，我需要在 YARA 规则中编写一个条件，将二进制文件的编译时间与当前系统时间进行比较，以检查它是否在过去 24 小时内编译。

如何在 YARA 中获取当前系统时间？

Yara 琴弦需要在不同的线路上吗？例如，一个典型的 Yara 规则会是这样的

但是，可以改为这样写吗？

我一直在尝试为模式匹配构建一个简单的 yara 规则 - mcd.exe /c "%s" 它用于学习基本的恶意软件分析。

规则：

结果出现此错误 -> 错误：语法错误，意外 '%'，期待CONDITION

我了解该错误是因为我无法转义“%s”或只是 %,。欢迎任何要解决的想法和逃避其他东西（如特殊字符）以帮助以更好的方式编写 yara 的方法。

1. 该恶意软件属于PE类型。使用此文件类型的魔术字节。
2. 要创建包含大量字符串的规则，编写一个为您创建规则的脚本可能会很有用。
3. 通过智能找到的字符串可能单独存在于其他文件中。为确保您与恶意软件匹配，可能需要使用所有这些恶意软件。

我想在这里，我们必须使用条件“所有这些”。但是我如何将文件中包含的字符串输入到我的.yara文件中呢？

示例这是我的文件的文件路径，其中包含要比较的所有字符串 -->

问题 --> 编写一个 Yara 规则，能够检测目录中实际上是恶意软件的 /home/student/Desktop/suspicious文件。

我正在尝试创建一个 YARA 规则，它匹配一个 URL 和一个任意目录，同时排除一个特定目录。例如，它需要匹配以下任何一个：

但具体不是这样：

使事情复杂化的是，如果文件包含一个带有任意目录的 URL 以及泄露的 URL，则该文件必须匹配。因此，包含以下内容的文件将匹配：

如下所示：

但不是以下内容：

如果 YARA 支持负前瞻，这将是微不足道的https:\/\/example\.com\/(?!baz)，但事实并非如此。有没有办法在 YARA 中做到这一点？