Lib.rs

YARA-X

YARA-X是YARA的重新诠释，YARA是一个针对恶意软件研究人员设计的模式匹配工具。这个新版本旨在比其前身更快、更安全、更易于使用。YARA-X的最终目标是替代YARA。

使用YARA-X，您可以基于文本或二进制模式创建恶意软件家族（或您想要描述的任何内容）的描述。每个描述（即规则）由一组模式和布尔表达式组成，这些表达式决定了其逻辑。让我们看看一个例子

rule silent_banker : banker {
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

上面的规则告诉YARA-X，任何包含以下三个模式之一的文件都必须报告为silent_banker。这只是一个简单的例子，通过使用通配符、不区分大小写的字符串、正则表达式、特殊运算符以及您在文档中找到的许多其他功能，可以创建更复杂和强大的规则。

常见问题解答

YARA-X与YARA相比如何？

阅读这篇。

在规则级别有哪些差异？

阅读这篇。

YARA是否仍在维护？

是的，它在维护中。YARA仍在进行维护，未来的版本将包括错误修复和少量新功能。但是，不要期待新的大型功能或模块。现在所有增强YARA的努力，包括添加新模块，都将集中在YARA-X上。

YARA-X的现状如何？

YARA-X仍然处于beta测试阶段，但已经足够成熟和稳定，可以用于命令行界面或一次性Python脚本。虽然API可能仍然会进行一些小的更改，但基础方面已经确立。

在VirusTotal，我们已经在使用YARA的同时运行了YARA-X有一段时间了，使用数万条规则扫描了数百万个文件，并解决了两者之间的差异。这意味着YARA-X已经过战火考验。这些测试甚至发现了YARA的bug！

请测试YARA-X，如果您发现bug或希望实现的功能，请不要犹豫提交问题。