Lib.rs

YARA-X

YARA-X是YARA的重生，YARA是一个针对恶意软件研究人员设计的模式匹配工具。这个新版本旨在比其前身更快、更安全、更易于使用。YARA-X的最终目标是取代YARA。

使用YARA-X，您可以基于文本或二进制模式创建恶意软件家族（或您想描述的任何内容）的描述。每个描述（即规则）由一组模式和布尔表达式组成，这些表达式确定其逻辑。让我们看看一个例子

rule silent_banker : banker {
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

上面的规则告诉YARA-X，任何包含以下三种模式之一的文件都必须报告为silent_banker。这只是一个简单的例子，通过使用通配符、不区分大小写的字符串、正则表达式、特殊运算符和其他许多您将在文档中找到的功能，可以创建更复杂和强大的规则。

常见问题解答

YARA-X与YARA相比如何？

阅读这里。

在规则级别有哪些区别？

阅读这里。

YARA是否仍然在维护？

是的，它在维护中。YARA仍然在维护中，未来的版本将包括错误修复和微小功能。但是，不要期待新的大型功能或模块。所有增强YARA的努力，包括添加新模块，现在都将集中在YARA-X上。

YARA-X目前的状态如何？

YARA-X仍然处于beta阶段，但已经足够成熟和稳定，可以用于命令行界面或一次性Python脚本。虽然API可能还会进行一些小的更改，但基础方面已经确立。

在VirusTotal，我们已经运行了YARA-X和YARA一段时间，使用数十万个规则扫描了数百万个文件，并解决了两者之间的差异。这意味着YARA-X已经过实战检验。这些测试甚至发现了YARA的错误！

请测试YARA-X，如果发现错误或想要实现的功能，请不要犹豫，提交一个问题。