Lib.rs

YARA-X

YARA-X是专为恶意软件研究人员设计的模式匹配工具YARA的再版。这个新版本旨在比其前辈更快、更安全、更易于使用。YARA-X的最终目标是成为YARA的未来替代品。

使用YARA-X，您可以基于文本或二进制模式创建恶意软件家族（或您想描述的任何内容）的描述。每个描述（即规则）由一组模式和布尔表达式组成，这些表达式确定其逻辑。让我们看看一个例子

rule silent_banker : banker {
    meta:
        description = "This is just an example"
        threat_level = 3
        in_the_wild = true

    strings:
        $a = {6A 40 68 00 30 00 00 6A 14 8D 91}
        $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
        $c = "UVODFRYSIHLNWPEJXQZAKCBGMT"

    condition:
        $a or $b or $c
}

上面的规则告诉YARA-X，任何包含三个模式之一的文件都必须报告为silent_banker。这只是一个简单的例子，可以通过使用通配符、不区分大小写的字符串、正则表达式、特殊运算符以及您在文档中找到的许多其他功能来创建更复杂和强大的规则。

常见问题解答

YARA-X与YARA相比如何？

阅读这个。

在规则级别有哪些区别？

阅读这个。

YARA是否仍然在维护？

是的，它在维护中。YARA仍在维护中，未来的版本将包括错误修复和小的功能。但是，不要期望新的大型功能或模块。现在所有增强YARA的努力，包括添加新模块，都将集中在YARA-X上。

YARA-X当前的状态如何？

YARA-X仍在beta测试中，但足够成熟和稳定，可以用于，尤其是命令行界面或单次Python脚本。虽然API可能仍然会进行一些小的更改，但基础方面已经确立。

在VirusTotal，我们已经运行了YARA-X和YARA一段时间，使用成千上万的规则扫描了数百万个文件，解决了两者之间的差异。这意味着YARA-X已经过战斗测试。这些测试甚至发现了YARA的错误！

请测试YARA-X，如果您发现错误或想要看到实现的功能，请毫不犹豫地提交一个问题。