写在前面的话:
上一篇文章里,我们已经初步了解了Malware的一些知识,并且利用Clamscan创建了自己的md5类型的病毒库,
那在这篇文章中,我将带领大家一起,来进一步了解病毒库的相关知识,以及如何建立自己的规则,匹配病毒;
零、YARA规则的编写:
yara也是在ClamAV这个开源软件里的,这里,先演示一下简单的使用:
rule vir1 { strings: $my_text_string = "kerne132.dll" // kerne132.dll not kernel32.dll condition: $my_text_string }
因为Lab01-01.exe里有kerne132.dll这个字符串出现,所以,规则就会匹配成功;
出现这个非正常字符串,我们就认为这个文件是恶意的,所以,会出现提示信息;
一、YARA规则解说(摘自15PB薛老师,部分)
二、Clamav病毒库类型
