Поддерживают ли правила Yara не-ascii символы?

Question

Поддерживают ли правила Yara не-ascii символы?

Я пытаюсь включить не-ascii символы в правило yara

Во-первых, в имени правила yara, а также в строке, для условия правила

В обоих случаях я получаю сообщение об ошибке: "не ascii символ" при тестировании правила. Так что, кажется, символы не-ascii не поддерживаются в yara?

 Rule i18n_KatakanaTest_string_specific_ アイルランド: i18n test アイルランドTest
{
    meta:
        description = "This is an i18n example for the アイルランド exe"
        thread_level = 3
        in_the_wild = false
        weight = 100

    strings:
        $stringa = "アイルランド"


    condition:
        $stringa
}

Правило сохраняется как fe-JAP

Чтобы проверить правило:

C:\Tools\yara-3.4.0-win64>yara64.exe fe_JAP ASCIItest_file.exe

возвращает:

fe_JA (1):error: non-ascii character
fe_JA (1):error: syntax error, unexpected $end, expecting '{'

2

yara

Источник

user5411188 09 окт '15 в 09:31

1 ответ

Другие вопросы по тегам yara

user278101 21 янв '16 в 23:21 2016-01-21 23:21 · Answer 1 · 2016-01-21 23:21

Ты прав. YARA не поддерживает символы не ascii ни для имен правил, ни для строк. Если вы хотите искать строки на японском языке, вы можете искать их в двоичном виде. Конечно, чтобы сделать это, вы должны знать необработанные байты вашей строки после ее кодирования.